NTFS:用户可以在没有权限的情况下编辑/删除文件
bjo*_*ter 5 windows active-directory ntfs file-server icacls
我在文件服务器上有一个非常奇怪的 NTFS 权限现象,我找不到我的错误,现在已经拉了几个小时了。我错过了什么?
我的目标是:
- 来自 Group-A 的用户应该能够将新文件/文件夹写入文件夹(“添加文件”)。他们还应该能够编辑那些新添加的文件。
- 在晚上,新添加的文件应该受到“保护”,以免被 Group-A 进一步编辑/删除。应该保留读取文件的权利和添加更多新文件的权利。
这是我所做的:
- 创建 Group-A,添加用户
- 授予 Group-A (F) 对文件夹的完全访问权限
- 创建一个脚本
- 删除文件夹中文件的继承位
- 删除 (F) 对文件的完全访问权限,保留只读权限
问题是,我的用户可以像拥有完全访问权限一样编辑和删除文件。即使“有效权限”显示没有编辑权限,仍然可以。
该脚本运行良好,如下所示:
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
脚本运行后,file.jpg 上的 NTFS 权限如下所示(对我来说是正确的):
icacls 输出也是如此:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
该文件的有效权限选项卡显示完全相同(正确)的内容:
父文件夹的权限,用户应该可以在这里添加文件,如下所示:
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
如果此用户登录(他只是在两个组中,域用户和组 A),他可以编辑、删除、重命名和移动文件 bild1.jpg。这怎么可能?NTFS 拿我光荣的计划做什么?
两个月前我也遇到过类似的问题,这篇文章可能对你有帮助。
我将首先检查这种情况是否发生在所有文件或仅用户拥有的文件上(更改所有者以查看它是否仍然存在),正如丹尼尔所建议的那样。
然后,我会尝试按照另一个线程中所述设置权限,但使用 Windows 中的详细首选项窗格(右下角的“高级按钮”)和“共享”选项卡(我不确定这是否是这样做的)在 Windows Server 中,在 Solaris 中是这样完成的)。基本思想是(引用第二个链接线程):
所有者始终可以更改其对象上的 ACL。您可以通过使用仅允许“Everyone:Modify”权限的共享来防止共享内容出现这种情况,因为这将“过滤掉”共享级别的任何更改 ACL 请求。如果您想允许管理员更改 ACL,只需将“存储管理员:完全控制”添加到共享权限即可。
| 归档时间: |
|
| 查看次数: |
1017 次 |
| 最近记录: |