В каталоге действий есть способ создать группу безопасности, которая использует специальный идентификатор? Я могу объяснить, почему я пытаюсь это сделать, но набирать текст становится немного многословно.

То, что я хотел бы собрать, это группа аутентифицированных пользователей, кроме CREATOR OWNER.

Я хочу, чтобы эта группа отказывала авторизованным пользователям разрешения, если у них нет разрешения CREATOR OWNER для папки или файла.

Моя проблема заключается в том, что пользователь CREATOR OWNER также является Аутентифицированным пользователем, если я откажу Аутентифицированному пользователю, который отменяет разрешения Разрешить, которые я установил для CREATOR OWNER.

Вероятно, нет никакого способа сделать что-либо подобное, кроме как искать подтверждение.

1 ответ1

0

Это невозможно. Запрещающие записи всегда имеют приоритет над разрешенными записями, если только запись «Запретить» не унаследована и «Разрешить» является явной.

Но есть гораздо лучший способ выполнить то, что вы собираетесь. Просто удалите запись Authenticated Users из ACL. (Возможно, вам придется сначала отключить наследование.) Если пользователь не соответствует ни одному из правил ACL, действие по умолчанию - Запретить. Поэтому, если вы просто назначите CREATOR OWNER требуемые права на родительскую папку и не допустите, чтобы запись Authenticated Users там применялась к файлам, доступ будет иметь только тот, кто создает файл.

Также обратите внимание, что CREATOR OWNER самом деле не человек; его запись в папке заменяется пользовательской записью, когда этот пользователь создает файл в этой папке. Это происходит только один раз; это не динамическая вещь, которая всегда ссылается на владельца.

Дополнительная информация: разрешения NTFS, часть 2.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .