Tornar um diretório gravável por apenas um usuário

0

Estou tentando configurar o PostgreSQL para uso local na minha área de trabalho e me deparei com um problema estranho. Não consigo encontrar uma maneira simples de tornar o cluster de banco de dados (que é apenas um diretório) acessível apenas ao usuário do postgres e completamente acessível ao mesmo. Em outras palavras, eu quero que o postgres (o usuário) tenha acesso total ao diretório, mas todos os outros apenas possam ler o que há nele (para que os arquivos possam ser copiados).

Criei o usuário 'postgres', removi-o de todos os grupos e neguei permissão de gravação para o grupo 'Usuários'. No entanto, quando tento inicializar o banco de dados, o usuário do postgres parece não conseguir gravar no diretório - depois que removo a negação de gravação de 'Usuários', ele funciona bem.

Eu sei que poderia fazer algo como negar permissões de gravação para meu usuário padrão (essencialmente eu), mas esse usuário pertence a 'Administradores' e não a 'Usuários'. Como aparentemente todos os usuários pertencem a 'Usuários' implicitamente e a negação tem precedência, receio que eu esteja negando a mim mesmo, o único administrador, a capacidade de modificar esse diretório a qualquer momento no futuro.

Eu já vi algumas outras instruções que envolvem a Diretiva de Grupo etc., mas elas não parecem ser específicas o suficiente e o processo parece muito complicado, o que me faz pensar que estou entendendo completamente as permissões de NTFS / Windows. Esse sentimento é ainda mais agravado pelo fato de que eu posso pensar em como fazer isso no Linux em 5 minutos e simplesmente. Eu nem tenho certeza se é possível neste momento.

Como eu daria acesso exclusivo a um usuário específico em um diretório e mais ninguém?

edit: Eu acho que posso resumir essa pergunta em uma mais simples: existe alguma maneira de impedir algo de um usuário que pertence ao grupo Administrador? E se você fizesse isso, seria capaz de restaurar as permissões como costumavam ser?

windows-7 permissions ntfs file-permissions mechalynx
fonte
A resposta curta para as duas perguntas em negrito é "sim". Em relação ao sistema de arquivos, os Administradores sempre terão acesso às pastas raiz da unidade (a menos que sejam restritas pelas diretivas de grupo), portanto, redefinir todas as permissões é sempre uma opção.
Dmitry Grigoryev

Respostas:

1

Você não precisa negar permissões para isso, nem remover postgresdo Usersgrupo. Este grupo deve ter acesso de leitura ao diretório, mas nenhum acesso de gravação. Observe que não é o mesmo que negação, você só precisa garantir que o diretório do cluster não herda nenhuma permissão do pai e, em seguida, atribua manualmente as permissões de leitura ao Usersgrupo. Em seguida, atribua a ele permissões de gravação postgresapenas para o usuário e está tudo pronto.

Edit: se a explicação acima não for clara o suficiente, aqui está uma captura de tela e um artigo .

Dmitry Grigoryev
fonte
Entendi o que você quis dizer e alterei as permissões, mas meu usuário ainda é capaz de executar todas as ações porque pertence ao grupo Administrador, penso. Tentei remover as permissões do grupo Usuários autenticados, mas o efeito é o mesmo, parece que as permissões Permitir também têm precedência sobre a falta de permissões. editar: Também tentei remover permissões do meu próprio usuário especificamente, o mesmo efeito - não esperava muito de qualquer maneira.
mechalynx
Que tal não usar a conta de administrador como seu login normal? Os administradores devem ter acesso a tudo no sistema. Você ainda pode executar tarefas administrativas digitando a senha do administrador quando necessário. ------- De qualquer forma, você poderá remover permissões mesmo de um usuário elevado. Você deve publicar capturas de tela de suas caixas de diálogo de permissão, caso contrário, seu problema é difícil de diagnosticar.
Dmitry Grigoryev
Eu não ficaria feliz em usar uma conta de administrador como meu login normal e foi o que pensei que aconteceria quando eu instalasse o Windows nesta máquina, mas agora é tarde demais. Aqui está uma captura de tela: imgur.com/vmiTBX9 - fiz o mesmo para 'Usuários' e ambos não têm efeito além do explorer reclamar que não posso modificar as permissões posteriormente, o que ainda muda de qualquer maneira. Parece que a especificidade não está entrando em vigor. Obrigado pelo esforço, mas acho que vou desistir disso e manter backups regulares para manter a integridade.
mechalynx
Pelo que vejo na captura de tela, administradores e usuários têm "Controle total" sobre a pasta e usuários autenticados têm permissões "Modificar". Você já tentou remover essas permissões (e talvez adicionar uma permissão "Ler")?
Dmitry Grigoryev
Tentei reduzir as permissões para 'Ler' em 'Usuários' e 'Usuários autenticados', mas não em 'Administradores' e não reduzi as permissões simultaneamente nos grupos anteriores. Evitei alterar as permissões de 'Administrador' para não me bloquear acidentalmente e não alterei as permissões simultaneamente porque estou procurando uma solução simples, se possível, e porque esperava que a especificidade tivesse precedência, portanto, esperava uma das duas. destes apenas seria necessário ou nada funcionaria.
mechalynx