Я хочу запретить редактирование прав доступа к файлам пользователями без прав администратора в моей общей папке на сервере. Я пытался предоставить только разрешения "Изменить" (без прав "Изменить разрешения" и "Взять на себя ответственность"):
Это работает для существующих файлов, но если пользователь создает новый файл в этой общей папке , он становится владельцем файла. Как владелец он может изменить все разрешения! Это было проверено в Windows Server 2016.
Если пользователь создает новый файл в этой общей папке, он становится владельцем файла. Как владелец он может изменить все разрешения!
Решите эту проблему , настроив Разрешения общего ресурса, с помощью которых пользователь получает доступ к папке по сети, чтобы предоставить только разрешения «Изменить» и «Чтение» для удостоверения «Все»:
При желании вы можете предоставить группе «Администраторы» разрешение «Полный доступ», если целевой пользователь не является членом этой группы.
объяснение
Владелец объекта NTFS (например, файла или папки) всегда имеет возможность читать и изменять разрешения для объекта. Даже если вы должны отказать всем NTFS-разрешениям владельца объекта, они могут обойти эти разрешения и установить для них все, что они пожелают.
Однако при доступе к сетевому ресурсу, как права доступа NTFS и Делиться разрешения принимаются во внимание, и более строгие разрешения применяются. Поэтому, если мы не предоставим пользователю права доступа к полному доступу, они не смогут использовать свое право владельца объекта для изменения прав доступа к объектам в этом общем ресурсе. В результате, любые разрешения, предоставляемые файловой системой NTFS удаленного компьютера, действительно становятся Заключительным словом в отношении того, что может делать пользователь.
