NTFS: aksi takdirde "kişisel" bir klasörde dizin silmeyi önler / reddeder

3

Windows 7 "server" dan CIFS ile paylaşılan bir dizin var. Etki alanı yok: sadece basit bir çalışma grubu.

Müşterilerim bu dizine sunucudaki "Standart Kullanıcı" ("Yönetici" yok) hesapları üzerinden LAN üzerinden erişiyor. Bu paylaşımı "kişisel depolama" için kullanıyorlar, bu yüzden içindeki her şey için tam oluşturma / düzenleme / silme gereksinimi duyuyorlar.

Sorun şudur: Ben sunucu tarafında orada bir dizin oluşturuyorum. Bu tek öğe herhangi bir şekilde düzenlenebilir olmamalı, sadece okunabilir / göz atılabilir / listable ( içerideki dosyaya değil, dizinin kendisine odaklanalım (bazen yoktur).

NTFS izinleriyle çalışıyorum: devralmamamalı-değil-dizinden devraldım, bu yüzden izinleri üzerinde çalışabilirim.

Müşteri hesabını kaldırdım ve bu aşamada yalnızca SİSTEM, Yöneticiler ve kendim izinleri var. Bu aşamada istemciler klasörü silemez veya açamazlar.

Bir Reddet "tam kontrol" kuralı eklersem, hiçbir şey değişmez (beklendiği gibi).

Ancak bu kuralı değiştirip yalnızca "Klasörü listele / verileri oku" seçeneğine izin verirsem, tüm diğerlerini Deny'de tutarken ... kullanıcı klasörü silebilir !?!?!?

bu nasıl mümkün olabilir? Neyi yanlış anlıyorum?

Not: Bir dizini değil tek bir dosyayı kontrol ettim: aynı problem!

Bu Icacls çıktısıdır:

NT YETKİSİ \ SİSTEMİ SİLMEMELİDİR: (OI) (CI) (F) MULETO \ Zane: (OI) (CI) (F) İNŞAAT \ Yöneticiler: (OI) (CI) (F) muletto \ myNetworkUser: (OI) (Cl) (RX)

1 dosya başarıyla işlendi; 0 dosya işlenemedi

windows  security  permissions  ntfs  cifs 
Gianluigi Zane Zanettini
kaynak
Söz konusu klasördeki tam izinleri listelemek ve bunları buraya göndermek için icacls komutunu (komut isteminden) kullanın. Bazı genel tavsiyeler: inkar kuralları nadiren uygundur ve bu durumda kesinlikle bir taneye ihtiyacınız yoktur.
Harry Johnston

Yanıtlar:

2

TAMAM. Bir kullanıcının, üst dizine Alt Silme erişimi varsa, o dosyayı / dizine yazma erişimi olmadan bir dosyayı silebilir (veya boş bir dizini kaldırabilir) onaylayabilirim. Bundan daha önce haberdar olsaydım, bunu unutmuştum, ancak belgelenen davranış, örneğin KB101651'e bakınız .

Sorununuzu çözmenin (en azından) üç yolu vardır:

  • Kullanıcılara ana dizine Tam Denetim erişimi yerine Erişimi değiştir izni verin. Tam Denetim ve Değiştirme arasındaki tek fark, Çocuk Silme hakkı (kullanıcının alt nesneleri silmesine izin verme) ve Yazma DAC hakkıdır (kullanıcının, nesne sahibi olmasa bile nesnenin izinlerini değiştirmesine izin verme).

  • Paylaşımdaki izinleri Tam yerine Değiştir olarak ayarlayın. Bu aynı etkiye sahip olmalı, ancak etkileşimli kullanıcıları değil yalnızca ağ kullanıcılarını etkileyecektir. Yan etkilerden biri, kullanıcıların kendi dosyalarında bile izinleri değiştirememesidir.

  • Alt dosyadaki / dizinindeki salt okunur bayrağını ayarlayın. Belgeler bu noktada net değil, ancak testlerim (Windows 7), Çocukları Sil öğesinin salt okunur bayrak setiyle dosyaları silmenize veya dizinleri kaldırmanıza izin vermediğini gösteriyor. Ayrıca salt okunur bayrağını sıfırlamanıza izin vermez. Explorer GUI'nin salt okunur bayrağın dizinler üzerinde bir etkisi olmadığını ima ettiğini unutmayın; Aslında dizinin kaldırılmasını engeller. (Yeni dosyaların dizine yazılmasını engellemez.) Eki: salt okunur bayrak bir dizinin taşınmasını engellemez.

Diğer notlar:

  • Çocuğu Silme dizinini doğrudan ana dizine reddedebilirsiniz, ancak kullanıcı üst dizine Tam Denetim koyarsa, reddetme girişini kaldırabilir.

  • Çocuk Silme hakkının doğrudan üst dizinde bulunması, kullanıcıların alt dizindeki dosyaları silmelerine veya boş olmadıkça alt dizini kaldırmalarına izin vermez. Zeyilname: Kullanıcıların alt dizini taşımasına izin verir.

Harry Johnston
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.