Olá Pessoal,

Um dos itens mais utilizados por administradores/analistas de redes Microsoft, é configurar as permissões de usuários e grupos em servidores de arquivos. Dependendo do tamanho da empresa e sua complexidade, a configuração pode demorar semanas e até meses para ser concluída. Isso sem contar a manutenção (retrabalho), se a implementação não tiver sido planejada.

No curso 70-290, a gente estuda as permissões de segurança (NTFS) e compartilhamento. Dentre as permissões especiais (de segurança), uma muito curiosa, e que pouca gente conhece, é a Traverse Folder/Execute File (Desviar Pasta/Executar Arquivo) permissão que que iremos abodar logo adiante o seu funcionamento.

Esta permissão especial funciona de dois modos:

Para pastas: Esta permissão permite ou impede que o usuário se mova dentro de uma pasta (ou pastas) para alcançar outros arquivos ou pastas, mesmo se o usuário não tiver permissões na pasta desviada ou transpassada. Mas tem um porém (tinha que ter, não é!). Esta permissão só funciona quando o usuário, ou grupo, não recebe o direito de usuário ignorar a verificação completa (Bypass traverse checking). Este direito verifica os direitos de usuário no snap-in Diretiva de grupo do domínio ou local. Po padrão, os grupos abaixo recebem o direito do usuário ignorar a verificação completa:

Padrão em estações e servidores:
Administrators
Backup Operators
Users
Everyone
Local Service
Network Service

Padrão em controladores de domínio:
Administrators
Authenticated Users
Everyone
Local Service
Network Service
Pre-Windows 2000 Compatible Access

Para arquivos: A permissão "Executar arquivo" permite ou nega o acesso aos arquivos de programa em execução.

Obs.: Se você configurar a permissão "Desviar pasta" em uma pasta, a permissão Executar arquivo não é configurada automaticamente em todos os arquivos nessa pasta.

Espero ter ajudado com esta dica.

Até a próxima!