Моя ОС - Windows 7 Ultimate. Я заметил, что пользователи без прав администратора на моем ПК могут удалять файлы, созданные администратором. Как я могу предотвратить удаление / изменение файлов пользователями, не являющимися администраторами, НЕ созданными этим пользователем?

Я знаю, как использовать вкладку «Безопасность» диалогового окна свойств файла / папки. С помощью этой вкладки можно настроить только один файл / папку и ее подпапки, чтобы конкретный пользователь / группа пользователей не могли их изменить. Я хотел бы знать, каким образом все пользователи без прав администратора не смогут изменять файлы, которые они не создают.

Заранее спасибо.

2 ответа2

1

В Windows файл обычно получает ACL из папки, в которой он создан. Если папка позволяет не владельцам файлов удалять их, то они могут это делать, даже если владелец является администратором.

Как вы заметили, вы можете изменить это для файла, папки или дерева папок.

Чтобы изменить для всех папок, вам необходимо сначала определить, какие деревья папок вы хотите изменить (например, вам не следует начинать изменять разрешения для C:\Users , C:\Windows , ... и других системных папок).

Затем для каждого из них вам нужно изменить ACL. Это может быть сделано в коде или скрипте (например, PowerShell), но требует больше времени для записи, чем у меня сейчас (если вы просто хотите скопировать один ACL в другую папку, сначала вы можете get-acl а затем set-acl другой).

Однако я бы посоветовал вам подумать, почему вы хотите это сделать. Если пользователю необходимо создать файлы, которые могут удалить только они, лучшим способом для этого является создание папки с определенным списком ACL. Не вносить глобальные изменения, чтобы администратор не задумывался.

1

Когда вы создаете папку как администратор, она и ее содержимое применяют уровень безопасности по умолчанию, который позволяет учетным записям в группе «Пользователи» читать и выполнять, но не удалять. Я бы согласился с комментариями Ричардса, а не определял явные разрешения. Я бы определил, что вы хотите сделать, и убедился, что другие учетные записи пользователей используют соответствующую группу пользователей. Если у вас есть другие учетные записи пользователей, и они входят в группу администраторов, они смогут получить доступ к любым папкам, если они перейдут в файловую систему как администратор. Даже если вы устанавливаете явные разрешения для одной учетной записи пользователя, пользователь в группе администраторов может стать владельцем, а затем вносить любые необходимые изменения. Только более ограниченный аккаунт предотвратит это.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .