Я являюсь администратором на моем ПК, и на нем есть другие пользователи. Я установил папку (Gabi) как "Только для чтения" для определенного пользователя (Алиса), используя ICACLS через командную строку (я использую windows 7 в VirtualBox). В папке есть несколько файлов ".txt". Я использовал следующую команду:

icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T

Вышеуказанная команда успешно выполнена в командной строке. Но файлы в папке могут быть изменены (Алиса может изменить текстовый файл, а также сохранить файл). Он также может переименовать. Он может даже удалить всю папку с файлами).

Я также попробовал эту ссылку: Используйте icacls, чтобы сделать каталог доступным только для чтения в Windows 7. Я перешел по ссылке и попробовал следующую команду:

C:\Windows\system32\Icacls "C:\ITSM Lab1\Administration\Gabi" /deny "Alice": (CI)(OI)(W,D)  /Grant:r "Alice":(CI)(OI)R /T

В приведенной выше команде я запретил "писать" и "удалять" Алисе и дал Алисе разрешение "только для чтения". Эта команда выполнена успешно, но папка "Габи" становится полностью недоступной и не удаляемой, что не соответствует моей цели.

Затем я восстановил Windows 7 до состояния, приведенного выше кода.

Я не знаю, почему команды на самом деле не устанавливают разрешение "только для чтения". На самом деле я хочу установить разрешение таким образом, чтобы Алиса могла читать текстовые файлы, но не смогла изменить / удалить файлы / папку, и он не сможет создать новый файл / папка в папке "Габи". Я только что проверил разрешение для Алисы через GUI (вкладка "Безопасность"): в столбце "Разрешить" отмечена только галочка "Чтение" (других отметок нет). Таким образом, графический интерфейс показывает, что разрешение "только для чтения" применяется к папке Gabi. Но Алиса все еще может изменять и удалять эти файлы и папку. Я не знаю почему.

Что я делаю неправильно?

Перед выполнением первой команды icacls "C:\ITSM Lab1\Administration\Gabi" /grant:r Alice:(OI)(CI)R /T я выполнил следующую команду:

icacls "C:\ITSM Lab1\Administration\Gabi" /grant Alice:R /T

Когда я запускаю команду:icacls "C:\ITSM Lab1\Administration\Gabi я получаю следующий результат:

icacls "C:\ITSM Lab1\Administration\Gabi"
C:\ITSM Lab1\Administration\Gabi Tanvir-PC\Alice:(R)
                                 Tanvir-PC\Alice:(OI)(CI)(R)
                                 Tanvir-PC\Gabi:(OI)(CI)(F)
                                 Tanvir-PC\SysAdministrator:(OI)(CI)(F)
                                 Tanvir-PC\CEO:(OI)(CI)(F)
                                 Tanvir-PC\Managers:(I)(OI)(CI)(N)
                                 Tanvir-PC\SysAdministrator:(I)(OI)(CI)(F)
                                 Tanvir-PC\CEO:(I)(OI)(CI)(F)
                                 BUILTIN\Administrators:(I)(F)
                                 BUILTIN\Administrators:(I)(OI)(CI)(IO)(F)
                                 NT AUTHORITY\SYSTEM:(I)(F)
                                 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(IO)(F)
                                 BUILTIN\Users:(I)(OI)(CI)(RX)
                                 NT AUTHORITY\Authenticated Users:(I)(M)
                                 NT AUTHORITY\Authenticated Users:(I)(OI)(CI)(IO)(M)
Successfully processed 1 files; Failed processing 0 files

скриншот результата

ОБНОВИТЬ:

В моем Windows 7 (в VirtualBox) есть 4 локальные группы (которые я создал из командной строки):

администрация
Генеральный директор
Менеджеры
SysAdministrator

У каждой локальной группы есть пользователь (и) (которого я создал из командной строки):

Пользователи в « Администрации »: Алиса, Габи

Пользователи в « CEO »: главный

Пользователи в « Менеджерах »: Энтони, Элиза

Пользователи в " SysAdministrator ": Admin

группы пользователей

|источник

1 ответ1

1

Проблема: Вы пользователь в настоящее время предоставляются дополнительные права

Я хочу установить разрешение таким образом, чтобы Алиса могла читать текстовые файлы, но не смогла изменить / удалить файлы / папку

Для достижения этого результата вашему пользователю должны быть предоставлены только разрешения на чтение NTFS для этой папки. Тот факт, что ваш пользователь все еще может изменять объекты в этой папке, указывает на то, что он получил больше, чем просто разрешение на чтение. NTFS-разрешения являются аддитивными. Поэтому все разрешения, предоставленные пользователю, складываются вместе, чтобы определить, что в конечном итоге может сделать пользователь.

Пользователю могут быть предоставлены разрешения через эти разрешения, предоставляемые непосредственно его пользовательскому объекту, или через разрешения, предоставленные группе, членом которой является пользователь.

В соответствии с выводом команды icacls "C:\ITSM Lab1\Administration\Gabi" следующие удостоверения имеют (M)odify или (F) все права доступа к папке (я исключил SYSTEM):

  • Tanvir-PC\Gabi:(OI)(CI)(F)
  • Tanvir-PC\SysAdministrator:(OI)(CI)(F)
  • Tanvir-PC\CEO:(OI)(CI)(F)
  • Tanvir-PC\SysAdministrator:(I)(OI)(CI)(F)
  • Tanvir-PC\CEO:(I)(OI)(CI)(F)
  • ВСТРОЕНЫ \ Администраторы:(I)(F)
  • ВСТРОЕНЫ \ Администраторы:(I)(OI)(CI)(IO)(F)
  • NT AUTHORITY \ Аутентифицированные пользователи:(I)(M)

Наиболее очевидная проблема заключается в том, что специальные удостоверенные Аутентифицированные пользователи имеют разрешения на изменение. В эту группу автоматически входят все пользователи с действующей учетной записью на компьютере, в которую будет входить ваш пользователь.

Кроме того, если в этом списке есть какие-либо другие группы, членом которых является ваш пользователь, то его членство в этих группах также предоставит ему не только разрешения на чтение.

Доступные решения

Либо удалите пользователя из любой группы, которой предоставлено больше, чем разрешение на чтение в папку, либо отмените разрешения этой группы для папки.

Если вышеупомянутое не вариант, вы можете запретить вашему пользователю следующие разрешения для папки. Разрешения «Запретить» всегда переопределяют разрешения «Разрешить», поэтому это будет противодействовать любым разрешениям «Разрешить», независимо от того, как они предоставляются:

Разрешения для Deny:

  • WD - записать данные / добавить файл
  • AD - добавить данные / добавить подкаталог
  • WA - написать атрибуты
  • DC - удалить ребенка
  • DE - удалить
  • WEA - написать расширенные атрибуты

Примечание. Использование разрешений «Запретить» обычно является плохой идеей и должно использоваться только в качестве крайней меры.

Лучший способ управлять разрешениями

Обычно необходимо предоставить нескольким пользователям следующие разрешения для папки:

  • Читать
  • изменять

Наилучшим подходом, который сводит к минимуму работу, связанную с предоставлением / отзывом разрешений пользователям, является использование групп ресурсов. Группа ресурсов - это просто группа, которой предоставлен определенный тип разрешения для объекта. Например, вашей папке потребуются следующие группы:

  • r_Gabi-Read (предоставленные разрешения на чтение)
  • r_Gabi-Modify (предоставлены права на изменение)

Чтобы изменить права доступа пользователя или группы к объекту, вы просто добавляете / удаляете их из членства в соответствующей группе ресурсов. Это быстрее, чем изменение прав доступа к самому объекту. Кроме того, у него есть явное преимущество, заключающееся в том, что в оснастке MMC «Пользователи и группы Active Directory» (или «Локальные учетные записи для компьютеров, не входящих в домен») четко указывается, кто к чему имеет доступ.

Эта стратегия требует, чтобы в дополнение к разрешениям, предоставленным группам ресурсов, вы предоставляли только дополнительные разрешения «Полный доступ» для удостоверений SYSTEM и Administrators . Никакие другие разрешения не должны предоставляться на объект.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .