Я пытаюсь предотвратить случайное удаление пользователями определенных папок (например, папки их личного сканирования - хранящихся на их домашнем диске), в то же время предоставляя им разрешения на чтение и запись содержимого этих специальных папок.
Мои эксперименты с различными комбинациями разрешений NTFS не увенчались успехом, так как я обнаружил, что пользователи либо не могут получить доступ к содержимому ..., либо могут удалить родительскую папку.
Как я могу это сделать?
Как указал Грэм, ключевым моментом здесь было использование нескольких записей прав доступа для одного и того же пользователя (что я никогда раньше не пробовал):
Разрешения на родительскую папку дают пользователям почти абсолютную свободу вносить любые изменения ... за исключением того, что флажок "удалить" снят, поэтому пользователи не могут случайно удалить / переместить / переименовать эту важную папку:
Переходя ко второму набору разрешений для того же пользователя (который применяется не к самой папке, а к ее содержимому), мы видим точно такие же права, которые были предоставлены пользователю, включая привилегии "удалить".
Таким образом, пользователи могут делать с вложенными папками и файлами все, что пожелают, включая их удаление / перемещение / переименование.
Эта конфигурация позволяет мне защищать ключевые папки, такие как персонализированные целевые каталоги сканирования, которые находятся в личных сетевых папках пользователя. Пользователи могут изменять содержимое (например, удалять PDF-файлы сканов, которые они больше не хотят хранить), но не могут непреднамеренно создавать проблемы для себя, удаляя папку, которую сканер ожидает увидеть при сохранении в сети.
Мне пришлось отключить наследование для специальной папки, так как в противном случае было бы невозможно вносить изменения в разрешения пользователя, которые отличались от корня сетевого ресурса; Однако, все вложенные папки и объекты действительно используют наследование для того , чтобы получить разрешение от их родительской папки.
Как только я понял, что именно нужно сделать, это заняло всего пару минут для настройки каждого пользователя. Теперь я уверен, что ключевые сетевые папки не могут быть случайно удалены пользователями.
Возможность удаления чего-либо из папки обычно зависит от прав, назначенных родителем, а не от самой папки (т. Е. Вы не можете сказать: «Не удаляйте меня»). Таким образом, это означает, что вам нужно контролировать разрешение на удаление самой папки в разрешениях родительского элемента папки.
Например:
A |-B | + a.html | + b.html | + c.html +-C + a.doc + b.docВозможность удаления «a.html» контролируется «B» (или унаследовано от «A»). Так что, если вы хотите прекратить удалять «B», вам нужно правильно установить разрешения для «A». Это становится довольно раздражающим, когда вы хотите иметь возможность удалить «C», но не «B». Иногда назначение владельца папки (но не ее содержимого) отдельному пользователю проще и очевиднее.
Папка должна иметь разрешение на чтение, удалять подпапки и файлы, создавать папки / добавлять данные, создавать файлы / записывать данные, читать атрибуты, перечислять папку / читать данные, перемещать папку / выполнять файл и все. Содержание должно быть под полным контролем. Эта комбинация должна (при условии правильного владения файлами и правильного создания и администрирования пользователей) позволить вашим пользователям иметь доступ через папку к ее содержимому, без возможности удалить или изменить саму папку.
Если ответ Остин Пауэр не работает для вас, вот два других варианта
Просто создайте подпапку с одним пустым текстовым файлом и лишите его доступа у пользователей, которых вы хотите защитить.
Как это работает?: Поскольку пользователи не могут удалить файл в подпапке, они также не могут удалить подпапку и родительскую папку.
Внимание!: Если вы попытаетесь удалить родительскую папку, вы действительно потерпите неудачу, но только после того, как все внутри будет удалено (кроме, конечно, специальной папки / файла).
Выполните эту процедуру. Предотвратите удаление папки или случайное перетаскивание с помощью безопасности NTFS.
