5

У меня есть учетная запись пользователя, настроенная таким образом, чтобы он мог создавать папки / файлы, но он не может удалять папки / файлы, созданные другими пользователями; однако они по-прежнему могут удалять созданные папки / файлы. Я не хочу, чтобы они могли это сделать.

Есть ли способ, которым я могу запретить пользователям удалять вещи, даже если они являются владельцем / создателем?

Или я могу автоматически поменять владельца папки / файла на admin при его создании, тем самым заблокировав обычную учетную запись пользователя от возможности его удаления?

Есть идеи или предложения?

4 ответа4

2

Запретить владельцам объектов NTFS изменять разрешения

Если пользователи получают доступ к данным через сетевую папку Windows , системный администратор может предотвратить владелец файл NTFS или папку с изменения разрешения, не предоставление разрешения акций Full Control:

Отдайте эту статью за концепцию.

Следовательно, все разрешения, которые предоставляются пользователям в первую очередь, остаются в силе даже для владельцев объектов, поскольку они не смогут использовать свои права Владельца для предоставления себе разрешений, не разрешенных администратором сервера.

1

Ключевым моментом является то, что пользователи могут удалять файл, если ACL файла дает им право удалить его, или ACL содержащего каталога дает им разрешение delete-child. Вы должны убедиться, что этот пользователь с ограниченными правами не получает ни одного разрешения. В специальной папке, из которой они не смогут удалять файлы, назначьте им следующие разрешения в окне «Дополнительные параметры безопасности»:

  • Разрешить «Обход папки / выполнение файла», «Список папок / чтение данных», "Чтение атрибутов", "Чтение расширенных атрибутов", «Создание файлов / запись данных», «Создание папок / добавление данных» и "Разрешения на чтение" в "эта папка и подпапки"
  • Запретить "удалять подпапки и файлы", "удалять" и "изменять разрешения" для «этой папки, подпапок и файлов»
  • Разрешить полный контроль над "только файлами" (это будет модерироваться предыдущим правилом запрета)

Но поскольку этот пользователь является владельцем любых файлов, которые он создает, он имеет право изменить разрешения, чтобы разрешить удаление. Последний кусок головоломки - тайный принцип OWNER RIGHTS . Вы можете ввести эту фразу прямо в диалоге выбора пользователя, где вы обычно вводите имя пользователя или группы. Создайте одно последнее правило для папки, которая предоставляет только "права на чтение" для "вложенных папок и файлов" OWNER RIGHTS . Тогда единственным преимуществом владения файлом в этой папке является то, что он гарантирует возможность видеть ACL, но не изменять его.

0

В зависимости от того, каковы ваши причины для этого, периодическое резервное копирование в местоположение, к которому у пользователя нет доступа, может быть решением.

0

Просто используйте запретить разрешения, так как они отменяют разрешения.

Обратите внимание, что в любом случае владелец может изменить разрешения, чтобы разрешить удаление файлов. Если это происходит, это явный акт воли, и не случайно, что обычно хорошо.

Кроме того, обратите внимание, что если вы установите запрещающие разрешения, скорее всего вы, некоторые программы и скрипты, работающие на сервере, больше не сможете удалять или перемещать файлы, пока вы снова не измените разрешения.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .