NTFS İzinleri - Dosya ve Klasör Oluşturun, ancak Silinmeyi ve Değiştirmeyi Önleyin

Amaç: Kullanıcıların dosya oluşturabildiği ancak değiştiremedikleri veya silmedikleri paylaşılan bir klasör. Kullanıcılar ayrıca alt klasörler oluşturabilmelidir.

Güvenlik grubuma aşağıdaki gelişmiş NTFS izinlerini verdim:

• Klasörü Gez / Dosya Yürüt
• Klasörü Listele / Verileri Oku
• Öznitelikleri Oku
• Genişletilmiş Öznitelikleri Oku
• Dosya Oluştur / Veri Yaz
• Okuma İzinleri

Deneme yanılma süreci boyunca, ben tarafından bulduk DEĞİL verilmesi 'Yaz Nitelikler', bu / düzenleyerek (istediğim budur) varolan dosyaları silerek bir kullanıcıyı önleme etkisine sahiptir. Ancak, bunun neden işe yaradığına dair bir açıklama yapmak istiyorum. Sahip olduğum tek teori bir dosyanın silinmesi / değiştirilmesinin dosyanın niteliklerini değiştirmesidir? İşte aynı satırlar boyunca bir tartışma .

EDIT - Sorumun ikinci kısmı ilgisiz, ben sadece 'Dosya Oluştur / Veri Yaz' seçmiştim ama aynı zamanda 'Klasör Oluştur / Veri Ekle' seçtim de düşündüm.

Dahası, kullanıcıların kök içinde alt klasörler oluşturabilmesini istiyorum ve 'Dosya Oluştur / Veri Yaz' vererek, bunun sadece buna izin verdiğini buldum. Ama yine, isim, bu iznin klasörlerin değil, dosyaların oluşturulmasına izin vermesi gerektiğini gösteriyor, bu yüzden neden çalıştığını anlamıyorum? Microsoft'un 'Dosya Oluştur / Veri Yaz' özniteliğini genişletmesi "Klasörler için, kullanıcının klasör içinde dosya oluşturup oluşturamayacağını belirtir. Dosyalar için kullanıcının dosya değiştirip değiştiremeyeceğini veya üzerine yazıp yazamayacağını belirtir." Bir klasör içinde alt klasörler oluşturma özelliğinden bahsedilmiyor mu?

Yani temelde, ne yapmaya karar verdim ama neden işe yaradığını anlamıyor musunuz?

Bir deneme yanılma süreci boyunca, 'Öznitelikleri Yaz' seçeneğini VERMEMEN bu kullanıcının mevcut dosyaları değiştirmesini / silmesini önleme etkisi olduğunu fark ettim (ki istediğim budur). Ancak, bunun neden işe yaradığına dair bir açıklama yapmak istiyorum.

Bu, bir dosya değişikliğinin tam olarak nasıl gerçekleştiğinin bir fonksiyonudur . Bir dosyayı değiştirdiğinizde, işletim sistemi düzenlediğiniz dosyayı gerçekten değiştirmez. Düzenlediğiniz dosyayı değiştirdiğiniz kopyayla değiştirir. Yani, esasen, bir dosya değişikliği orijinal dosyanın bir kopyasını alır, onu belleğe yükler (değiştirdiğiniz yer), orijinal dosyayı siler ve aynı yerde aynı ada sahip yeni bir dosya oluşturur. Bu nedenle Deletedosyaları değiştirmek için NTFS izinleri gereklidir - aslında, Advanced permissionsbir NTFS nesnesini kontrol ederseniz , Modifyizin yoktur - bir değişiklik gerçekten sadece bir silme ve bir yazmadır.

Bu nedenle, bir dosyanın yeni kopyasını oluşturmak için, bu yeni dosyanın dosya özniteliklerini yazması gerekir ... ve elbette, öznitelikleri yazmak Write attributesNTFS iznini gerektirir . Bu yüzden Write attributesNTFS izni olmadan bir dosyayı değiştiremezsiniz .

Özellikle, Fitzroy ile sohbet sayesinde , NTFS dosya nitelik ihtiyaçları yazılacak o kullanıcının güvenlik bağlamında (olmadan, bu olamaz Write Attributestamamen yeni bir tane oluştururken bir dosyayı değiştirerek değil, ne zaman izin), olur dosyaLastModificationTimeStandard Information olmak . Microsoft Core Team geliştiricilerinden birine göre bu, özelliğin bir parçasıdır .

Bu doğrudur: 'Nitelikleri Yaz' iznine sahip olmama kullanıcının dosyalarını değiştirememesine neden olur. Ve Microsoft belgelerine göre mantıklı değil. Ancak bir dosyanın değiştirilmesi dosyanın silinmesi ve yeniden oluşturulması anlamına gelmez . Bir uygulama değişiklik için bir dosyayı açtığında, işletim sistemi dosyayı silmez. Ancak, işletim sisteminin yaptığı, eşzamanlı değişikliği önlemek için dosyayı kilitlemektir. Benim tahminim dosyayı kilitleme 'dosya özniteliklerini değiştirme' kavramının altına düşüyor. Bu nedenle, öznitelikleri değiştirememek dosyayı değiştirememe ile sonuçlanır.

Sorunuzun ikinci kısmı için bunu tekrarlayamıyorum. Bir klasöre uygulanan iki farklı izin vardır: 'Dosya Oluştur / ...' ve 'Klasör Oluştur / ...' ve testlerim sırasında belgelere göre çalıştılar.