Я хочу запретить пользователю доступ к диску D: кроме его личной папки D:\Documents. Пользователь принадлежит группе пользователей. Я не хочу ограничивать всю группу пользователей, поэтому я должен каким-то образом создать новую группу с теми же разрешениями, но без доступа к D:
Как я могу это сделать?
Создавать группу следует только в том случае, если в этой группе будет размещено более одной учетной записи (или пользовательской). Я рекомендую вам не создавать новую группу, а вместо этого запретить определенному пользователю доступ ко всему, кроме самой папки d:\documents, поскольку она более прямо соответствует вашей конечной цели. В качестве альтернативы вы можете создать группу «Все», но это потребует дополнительного управления и обслуживания при каждом добавлении нового пользователя.
В отношении вашего заголовка, нет возможности скопировать групповые разрешения. разрешения хранятся в файловой системе самих файловых объектов (или их метаданных), поэтому придется искать весь диск, если кто-то решит написать функцию для копирования разрешений (чего у них нет).
Я рекомендую в объекте D:\ добавить пользователя в список разрешений и отредактировать разрешения пользователей, чтобы Deny пользователю все, кроме "List Foilder Contents".
в каталоге d:\ documents предоставьте пользователю полный контроль.
Наконец, в каталоге d:\documents войдите в расширенное представление вкладки "Безопасность" (щелкнув по пути "Изменить разрешения"), снимите флажок "Включить наследуемые разрешения от родителя этого объекта". Вам будет предложено скопировать или удалить разрешения, унаследованные от родителя, поэтому выберите "Копировать", а затем удалите правило запрета. Наконец, установите флажок "Заменить все разрешения дочернего объекта наследуемыми разрешениями от этого объекта" и нажмите "Применить". Windows установит дочерние разрешения и автоматически снимет флажок.
Таким образом, пользователь может получить доступ к документам d:\, но не может ничего читать / писать, кроме как в этом каталоге.
Другим менее управляемым подходом было бы создание группы для всех пользователей, кроме рассматриваемого, предоставление этой группе полного контроля над d:\ root и полное удаление группы пользователей из списка разрешений. Затем в документы d:\ добавьте пользователя с полным контролем.
Ни один из этих подходов не является полностью оптимальным, но любой из них будет работать.
