Разрешения на создание файлов и папок, но только на изменение принадлежащих файлов

Question

Я хочу установить разрешения для папки, в которой каждый локальный пользователь должен иметь возможность:

• Создать новые файлы или папки
• Но только владелец файла может изменить или удалить его.

Так как нам нужны разрешения « Create Files/ Write Data , « Create Folders/ Append Data и « Write Attributes , как запретить пользователям изменять файл другого владельца? Кроме того, с разрешенной Write Attributes разрешается любая модификация (кроме удаления). Но если я отключу это разрешение, я не смогу создавать файлы.

Какие разрешения я должен использовать?

Answer 1

Вам не хватает ключей, удостоверяющих личность CREATOR OWNER и параметр "Применить к".

Примените следующие разрешения к вашей общей папке, чтобы удостоверение « Everyone могло создавать файлы и папки, но только владелец файла или папки * (идентификатор CREATOR OWNER ) может редактировать / переименовывать / удалять его:

+---------------+--------------------------------+----------------------+
| Identity      | Permissions                    | Apply To             |
+---------------+--------------------------------+----------------------+
| Everyone      | Read & Execute                 | This folder,         |
|               |                                | subfolders and files |
+---------------+--------------------------------+----------------------+
| Everyone      | - Create files / write data    | This folder and      |
|               | - Create folders / append data | subfolders           |
+---------------+--------------------------------+----------------------+
| CREATOR OWNER | Full control                   | Files only           |
+---------------+--------------------------------+----------------------+
| CREATOR OWNER | Delete                         | Subfolders           |
|               |                                | only                 |
+---------------+--------------------------------+----------------------+

То, что мы делаем здесь, - это предоставление всем достаточных разрешений для чтения всего в папке и создания файлов и папок, но это все. Затем права владельца CREATOR вступают во владение. Когда объект создается, Windows применяет любые разрешения, предоставленные идентификатору CREATOR OWNER, к создателю объекта.

Таким образом, полный контроль над файлами позволяет только создателю файла делать с ним все, что он пожелает. Удалить в "Только подпапки" немного более неясно; это необходимо для того, чтобы создатель папки мог: 1) переименовать и 2) удалить ее. Однако, если владелец папки пытается удалить папку, содержащую файлы или папки, которые ему не принадлежат, операция удаления завершится неудачно.

---

* Эти разрешения позволяют изменять папки, принадлежащие пользователю, которые вы специально не запрашивали. Однако, если вы этого не допустите, пользователи могут создавать папки, но не переименовывать их. Это проблематично, например, если пользователь создает папку через контекстное меню Windows. В этом случае Windows сначала создает папку с именем « Новая папка», затем предлагает пользователю переименовать ее, но как только она будет создана, пользователь фактически не сможет переименовать ее.

Answer 2

У меня недостаточно репутации, чтобы комментировать, поэтому я должен опубликовать это как ответ. Чтобы добавить ответ Twisty, я бы предложил использовать "Authenticated Users". Многие люди используют "Все", когда они действительно хотят использовать аутентифицированных пользователей. Разница заключается в том, что аутентифицированные пользователи могут только действительные пользователи, которые не являются гостями или анонимными. Каждый разрешает доступ кому угодно. Если вы хотите предоставить доступ сотрудникам с действительными учетными записями, используйте "Аутентифицированные пользователи"

Группа Everyone - это расширенный набор группы Authenticated Users. Он включает в себя группу «Прошедшие проверку» и учетную запись «Гость». Важное различие между группами «Все» и «Прошедшие проверку» заключается в членстве их учетных записей «Гость» и «Анонимный».

Материал для чтения:https://www.itprotoday.com/security/authenticated-users-group-vs-everyone-group