Как запретить пользователю удалять подпапки в подпапке общего ресурса?

Question

У меня есть группа (GroupA) , который необходим доступ к подпапке (FolderA2) в подпапке (FolderA1) эмиссионного FolderA.

Общая папка FolderA и подпапки:

 FolderA
  |
  +--FolderA1
     |
     +--FolderA2

Вот что я пытаюсь сделать (Шаги 1 и 2 работают нормально):

1. Общий доступ к папке FolderA ограничен только для чтения. Я не хочу, чтобы пользователи могли создавать папки или файлы в корне общего ресурса FolderA .

2. GroupA должна иметь возможность создавать, удалять и изменять папки и файлы в папке FolderA1, но не должна удалять папку FolderA1 . У меня это работает нормально до этого момента.

3. FolderA2 должен быть доступен только нескольким пользователям, которые также принадлежат к GroupA, поскольку эта папка содержит конфиденциальную информацию, доступ к которой разрешен только двум пользователям.

Поскольку у меня все работает нормально до шага 2 или подпапки FolderA1, я опишу только то, что я сделал для FolderA2.

Чтобы решить проблему FoderA2 , я сделал следующее:

1. Создано GroupB
2. Добавлены пользователи в GroupB, которым нужен доступ к FolderA2
3. Отключено наследование в FolderA2.
4. Удален доступ GroupA

5. Добавил GroupB доступ к безопасности FolderA2 и применил к « Только этой папке » и выбрал следующее в дополнительных правах доступа:

   • Переместить папку / выполнить файл
   • Список папок / чтение данных
   • Читать атрибуты
   • Читать расширенные атрибуты
   • Создание файлов / запись данных
   • Создать папки / добавить данные
   • Написать атрибуты
   • Написать расширенные атрибуты
   • Удалить подпапки и файлы

   • Разрешения на чтение

     6. Добавлен еще один доступ GroupB к безопасности FolderA2 и применен к « Только подпапкам и файлам» и выбрал следующее в дополнительных правах доступа:

   • Переместить папку / выполнить файл

   • Список папок / чтение данных
   • Читать атрибуты
   • Читать расширенные атрибуты
   • Создание файлов / запись данных
   • Создать папки / добавить данные
   • Написать атрибуты
   • Написать расширенные атрибуты
   • Удалить подпапки и файлы
   • удалять
   • Разрешения на чтение

После применения этих прав доступа я проверил пользователей, принадлежащих к GroupA, и они действительно не могут получить доступ к FolderA2, что хорошо. Теперь я пробую пользователей, принадлежащих к GroupB, и они могут получить доступ к FolderA2, как и предполагалось, но они также могут удалить FolderA2, и это НЕ ХОРОШО. Они не должны быть в состоянии удалить эту папку. Как мне обойти это?

Примечание: Только так вы знаете, так как пользователи , которым необходим доступ к FolderA2 уже являются членами группы, имеющим доступ к общему ресурсу FolderA и подпапки FolderA1, я не добавил GroupB доступа к доле FolderA или FolderA1 подпапке. Я просто добавил GroupB доступ к FolderA2.

====== Ниже приведены изображения, которые показывают настройки папок ======

FolderA Share Permission

FolderA Permission Entry:

Папка расширенных настроек безопасности A1:

FolderA1 Permission Entry 1:

FolderA1 Permission Entry 2:

Дополнительные параметры безопасности FolderA2:

Запись разрешения для FolderA2:

Запись разрешения 2 для папки A2:

При тестировании доступа пользователя, который имеет доступ к FolderA2, доступ запрещен:

Если я добавлю "Список папок" 3-е разрешение, примененное к "Только этой папке", я получу доступ к папке. Я могу удалить файлы и папки, но не могу создать файлы или папки и могу удалить FolderA2.

Answer 1

Они также могут удалить FolderA2, и это НЕ ХОРОШО. Они не должны быть в состоянии удалить эту папку. Как мне обойти это?

Вы можете запустить соответствующие команды icacls для конкретной и явной папки, которую вы хотите заблокировать, и DENY разрешение DELETE на этом уровне папки для GroupB . Поэтому, как только вы получите настройку GroupB с нужным вам доступом, как вы объясните, просто запустите эту команду, и все должно быть настроено так, как вам нужно.

1. Отключить наследование

Щелкните правой кнопкой мыши FolderA2 , выберите « Properties , вкладка « Security », « Advanced , « Disable Inheritance , выберите « Convert inherited permissions into explicit permissions on this object , а затем нажмите « Apply > « OK.

Вернувшись на вкладку « Security » в свойствах FolderA2 , нажмите кнопку « Edit . Теперь выберите и удалите все перечисленные группы и учетные записи, но оставьте Domain Admins , System Creator Owner и создателя , Apply , OK .

Теперь выполните приведенную ниже команду iCALCS для папки FolderA2 как показано, и нажмите « Apply > « OK.

2. Команда iCALCS

_{Обязательно просмотрите « Отключить наследование» и завершите его перед запуском этой команды.}

icacls "\\server\FolderA\FolderA1\FolderA2" /deny "GroupB":(DE)

БОНУСНОЕ ПРИМЕЧАНИЕ: выше также предотвращает печально известное случайное перетаскивание папки.

ВНИМАНИЕ: Если в доменной среде, пожалуйста, подождите до одного часа, чтобы изменения безопасности вступили в силу.Как только изменения в безопасности вступят в силу, учетным записям пользователей может потребоваться выйти из системы и затем вернуться на компьютер \ систему, прежде чем они получат вновь установленные разрешения безопасности NTFS ACL.

---

Эквивалентный метод GUI

3. Явный Запрет

Щелкните правой кнопкой мыши на FolderA2 , выберите « Properties , перейдите на вкладку « Security » и нажмите кнопку « Advanced. В окне « Advanced Security нажмите кнопку « Add. Затем в окне « Permissions Entry нажмите кнопку « Select a principal , введите GroupB и нажмите Enter. Отсюда вы выберете разрешение Deny в поле Type и выберите This folder only в поле Applies To . Наконец, просто убедитесь, что в окне « Delete выбран только параметр « Advanced Permissions , и нажмите « Apply > « OK.

4. Явный Разрешить

Убедитесь, что любые разрешения MODIFY вы предоставляете или разрешаете GroupB явно указывать на FolderA2 что вы уверены, что применяете его только к подпапкам Subfolders and files only противном случае GroupB может получить возможность явно удалять FolderA2 из этой конфигурации из того, что я тестировал.

---

Дополнительные ресурсы

• Icacls

  • DE - Удалить

  • / отклонить пользователя: разрешение

    Явно отказывает указанным пользователям в правах доступа.

    Это также удалит любое явное предоставление

    одинаковые разрешения для одного и того же пользователя.

Answer 2

Обновленный сервер. Те же проблемы

Пользователи и группы:

GroupA

UserA

GroupB

UserAB

Спасибо за всю помощь Walmart. Похоже, проблема была в FolderA1. Вот фотографии защищенных прав на папки:

FolderA Share Permissions:

FolderA Дополнительные параметры безопасности:

FolderA Permission Entries:

Дополнительные параметры безопасности FolderA1 :

FolderA1 Разрешения Записи:

Запись 1:

Запись 2:

Дополнительные параметры безопасности FolderA2 :

FolderA2 Разрешения Записи:

Запись 1:

Запись 2:

Это прекрасно работает. Блокирует неавторизованных пользователей из FolderA2.

Я все еще озадачен действующими правами для GroupB на FolderA2, см. Ниже:

GroupB Эффективные разрешения на FoderA2:

UserAB Действующее разрешение на FolderA2:

Еще раз спасибо.