-1

Недавно я пытался ограничить разрешение на "удаление" для обычных пользователей. Для этого я сделал следующее:

(перевод с польской версии Win, могут быть небольшие отличия) Щелкните правой кнопкой мыши по указанному каталогу -> Свойства -> Безопасность -> Дополнительно -> Изменить разрешения -> Я установил первый флажок, чтобы прекратить наследовать разрешения от родительского каталога -> I ' Добавлены специальные разрешения для пользователей - "Удалить" и "Удалить подпапки и файлы".

В результате я не могу удалить эти файлы / каталог как обычный пользователь, он спрашивает меня о пароле администратора - это здорово, как я и ожидал. Однако, когда я ввожу пароль администратора, файл не удаляется, и появляется окно с сообщением о том, что мне нужны разрешения администратора для выполнения этой операции. Кроме того, когда я пытаюсь повторить эти шаги для администратора, это дает мне тот же результат, я не могу удалить файлы / каталог, над которым я выполнил вышеуказанные изменения, даже когда я вошел в систему как учетная запись администратора, под которой я выполнил эти изменения.

Кто-нибудь может помочь мне решить мою проблему? Я не понимаю, почему отказ в разрешении на удаление для пользователей делает невозможным и для администратора ...

Чтобы ответить на ваши первые вопросы, скрытая учетная запись администратора была отключена, и я не использовал ее, просто использовал мою учетную запись администратора.

1 ответ1

1

Запретить ACE оцениваются в первую очередь и имеют приоритет над всем остальным. Если вы хотите удалить объект, который наследует Deny ACE, вам нужно очистить флаг наследования, а затем удалить Deny ACE только из этого объекта.

Использование "deny" для предотвращения удаления - очень сложная задача. Вместо предоставления Изменения, которое включает Удалить, предоставьте только Чтение.

Это подробно объясняет https://technet.microsoft.com/en-us/library/cc783530(v=ws.10).aspx For example, you might want to allow domain administrators to perform an action but deny domain users. If you attempt to implement this by explicitly denying domain users, you also deny any domain administrators who are also domain users. Though it is sometimes necessary, you can and should avoid the use of explicit denies in most cases.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .