如何防止用户删除一个文件夹,同时仍然给他们修改其他文件和文件夹的权限?
Ast*_*rid 2 windows ntfs permissions
我试图防止用户意外删除父文件夹中的某个文件夹,同时仍然授予他们对父文件夹中所有其他文件和文件夹的修改权限。但是他们也应该能够修改这个特定文件夹中的文件和文件夹。
在此对类似问题的评论中,我的问题描述得非常好,但此评论没有答案。https://superuser.com/a/977180/554054 这是我的结构:
Folder A
|-Folder B
|-Folder C
| |+Folder E
| | |+ a.doc
| |+Folder F
| | |+ b.doc
| |+c.doc
|-D
- 文件夹 A - 读取/执行
- 文件夹 B/D - 读取/执行(从 A 继承)+ 读取/写入/删除文件/子文件夹
- 文件夹 C - 读取/执行(从 A 继承)+ 读取/写入/删除文件/子文件夹,文件夹 E 除外!不应允许删除该文件夹,但在该文件夹中,用户应该能够读/写/删除子文件夹和文件。
我尝试了许多不同的权限组合方式,但没有任何效果。有谁知道如何解决这个问题?
这是我的文件夹 E高级设置的 两个屏幕截图: 高级设置文件夹 E继承了用户“Bearbeiter”的特殊权限
我试图防止用户意外删除父文件夹中的某个文件夹,同时仍然授予他们对父文件夹中所有其他文件和文件夹的修改权限。但他们也应该能够修改这个特定文件夹中的文件和文件夹
使用 NTFS 安全性防止文件夹删除或无意拖放
如果你想阻止一个特定的文件夹被删除或拖放其他地方,即使它已经上升隐式许可,您可以设置明确DENY的FOLDER ONLY您要防止这种行为被执行的用户帐户或安全组。
您可以使用带有本地路径(例如)或 UNC 路径(例如)的ICACLS来完成此文件夹安全锁定。C:\Path\FolderA\FolderE\\server\share\FolderA\FolderE
从提升的命令提示符运行的 ICACLS 语法示例
ICACLS "\\server\share\FolderA\FolderE" /deny "<UserOrGroupNameToDeny>":(DE)
使用的权限
/deny user:permission
Explicitly deny the specified user access rights.
This will also remove any explicit grant of the
same permissions to the same user.
perm is a permission mask and can be specified in one of two forms:
a comma-separated list in parentheses of specific rights:
DE - delete
这是做什么的
使用该语法中的这些选项运行上面的内容将显式设置DENYNTFSDELETE权限FOLDER ONLY到安全组的特定用户帐户。
您可以通过以下方式确认用户帐户或安全组对文件夹的拒绝权限:
right-click您在命令中使用的文件夹,- 选择Security选项卡,
- 在该
Group or user name:区域滚动到或选择并突出显示您在命令中使用的帐户或组, - 在该
Permissions for Administrators区域中,您将看到 NTFS 权限属性Allow和Deny - 您将在命令中使用的帐户或组
DENY的special permissions行列中看到一个复选标记
- 选择Advanced并转到Permissions选项卡
- 检查您在命令中使用的
Name(或Principal)值,因为DENY在Type字段中 - 该
Permissions(或Access)字段应该显示Delete和Apply to(或Applies to)将显示this folder only
笔记
请注意,取消选中 ALLOW DELETE 属性与将其保留原样然后为同一安全组或用户帐户创建单独的 NTFS ACL 规则并明确拒绝 DELETE 安全性不同。
此解决方案不允许以这种方式删除
(错误的)
此解决方案将明确拒绝在此级别仅删除此文件夹
(正确的)
(正确的)
进一步阅读和资源
| 归档时间: |
|
| 查看次数: |
43747 次 |
| 最近记录: |