Я намагаюся не допустити, щоб користувачі випадково видаляли певні папки (наприклад, їх особисту папку призначення сканування - зберігається на їхньому домашньому диску), при цьому надаючи їм дозволи на читання + запис до вмісту цих спеціальних папок.
Мої експерименти з різними комбінаціями дозволів NTFS були невдалими, оскільки я вважаю, що користувачі або не мають доступу до вмісту ..., або можуть видалити батьківську папку.
Як я можу це зробити?
Відповіді:
Як зауважив Грейм, ключовим тут було використання декількох записів дозволів для одного користувача (те, що я ніколи раніше не пробував):
Дозволи на батьківську папку дають користувачам майже абсолютну свободу вносити будь-які зміни ... за винятком того, що поле "видалити" не встановлено, тому користувачі не можуть видалити / перемістити / перейменувати цю важливу папку випадково:
Переходячи до другого дозволу, встановленого для того самого користувача (який стосується не самої папки, а її вмісту), ми бачимо ті самі права, надані користувачеві, включаючи привілеї "видалити".
Таким чином, користувачі можуть робити все, що завгодно, для підпапок і файлів, включаючи видалення / переміщення / перейменування.
Ця конфігурація дозволяє мені захищати ключові папки, такі як персоналізовані цільові каталоги сканування, які перебувають у персональних мережевих місцях користувача. Користувачі можуть змінювати вміст (наприклад, видаляти PDF-файли сканів, які вони більше не бажають зберігати), але не можуть ненавмисно створити проблеми для себе, видаливши папку, яку сканер очікує побачити під час збереження в мережі.
Мені довелося вимкнути успадкування для спеціальної папки, оскільки в іншому випадку неможливо було внести зміни до прав користувача, які залежали від кореня мережевої частки; Однак, все суб папки і об'єкти роблять використання успадкування для отримання дозволу від їх батьківської папки.
Після того, як я зрозумів, що саме потрібно зробити, на користь кожного користувача знадобилося лише кілька хвилин. Тепер я маю на увазі, що ключові мережеві папки не можуть випадково видалитись користувачами.
Папка повинна мати дозвіл на читання, видаляти підпапки та файли, створювати папки / додавати дані, створювати файли / записувати дані, читати атрибути, список папок / читати дані, переходити папку / виконувати файл і все. Вміст повинен бути повним контролем. Ця комбінація повинна (якщо припустити правильне володіння файлами та правильне створення та адміністрування користувача), щоб ваші користувачі мали доступ через папку до її вмісту, не маючи змоги видаляти чи змінювати саму папку.
Можливість видалити щось із папки зазвичай залежить від дозволів, призначених батьком, а не самої папки (тобто ви не можете сказати: "Не видаляйте мене"). Отже, це означає, що вам потрібно керувати дозволом на видалення самої папки в дозволах батьківської папки.
Наприклад:
А | -В | + a.html | + b.html | + c.html + -С + a.doc + б.докМожливість видалення "a.html" контролюється "B" (або успадковується від "A"). Тож якщо ви хочете перестати мати змогу видалити "B", вам потрібно встановити дозволи належним чином на "A". Це стає дуже дратівливим, коли ви хочете мати можливість видалити "C", але не "B". Іноді присвоєння права власності на папку (але не її вміст) окремому користувачеві простіше та очевидніше.
Якщо відповідь Остіна Паула не працює для вас, ось два інші варіанти
Просто створіть підпапку з одним порожнім текстовим файлом і забрати доступ до них у користувачів, яких ви хочете захистити.
Як це працює? : Оскільки користувачі не можуть видалити файл у підпапці, вони також не можуть видалити підпапку та батьківську папку.
Обережно! : Якщо ви спробуєте видалити батьківську папку, ви дійсно не зможете, але тільки після того, як все всередині буде видалено (крім звичайно спеціальної папки / файлу).
Виконайте цю процедуру Запобігання видалення папки або ненавмисного перетягування із захистом NTFS