2

У меня есть папка. Я бы хотел, чтобы пользователь (назовем его Дартом) мог делать что угодно (создавать, читать, записывать, удалять) папки / файлы внутри папки А, НО дарт НЕ ДОЛЖЕН удалять саму папку А. Для достижения этого я применил следующие разрешения.

C:\>icacls foldera
    foldera DHI-VM1\darth:(DENY)(D)
        DHI-VM1\darth:(RX,W,WDAC,WO,DC)
        NT AUTHORITY\SYSTEM:(OI)(CI)(F)
        BUILTIN\Administrators:(OI)(CI)(F)
        BUILTIN\Users:(OI)(CI)(RX)
        BUILTIN\Users:(CI)(S,WD,AD)
        CREATOR OWNER:(OI)(CI)(IO)(F)

Successfully processed 1 files; Failed processing 0 files

Я знаю, что Deny имеет приоритет над Allow, но в этом случае Deny & Allow предназначены для разных объектов (запретить удаление в родительской папке, разрешить в дочерней папке). Я до сих пор не могу удалить что-либо внутри папки A, несмотря на то, что у нас есть разрешение (во 2-й строке после WO). Почему так ?

ОС - Windows Server 2008 R2

1 ответ1

1

Это может быть достигнуто другим способом, манипулируя расширенными разрешениями и наследованием разрешений.

Например, как я делаю это для пользователя mmv и папка test

D:\empty\test>icacls .
VS2K8TS\mmv:(OI)(CI)(IO)(F)
VS2K8TS\mmv:(RX,W,DC)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NT AUTHORITY\system:(I)(OI)(CI)(F)
CREATOR-OWNER:(I)(OI)(CI)(IO)(F)

Я только добавляю разрешения для mmv. Таким образом, mmv почти как администратор в этой папке, но не может удалить саму папку.

Обратите внимание, у пользователя (mmv) есть две продвинутые записи acl, для самой папки и для подпапок и файлов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .