Дозволи NTFS - створюйте файли та папки, але запобігайте видаленню та модифікації

Мета: Спільна папка, в яку користувачі можуть створювати файли, але не змінювати або видаляти їх. Користувачі також повинні мати можливість створювати підпапки.

Я надав моїй групі безпеки такі розширені дозволи NTFS:

• Повернути папку / виконати файл
• Список папок / читання даних
• Прочитайте атрибути
• Читати розширені атрибути
• Створення файлів / запис даних
• Прочитайте дозволи

В результаті проб і помилок я виявив, що, не надаючи "Write Attributes", це призводить до того, що користувач не може змінювати / видаляти існуючі файли (що я хочу). Однак я б дуже хотів пояснення, чому саме це працює. Єдина теорія, яку я маю, - це те, що видалення / модифікація файлу змінює атрибути файлу? Ось дискусія в цьому ж напрямку .

EDIT - Друга частина мого питання не має значення, я вважав, що вибрав лише "Create Files / Write Data", але також вибрано "Create Folders / Append Data".

Крім того, я хочу, щоб користувачі мали змогу створювати підпапки в корені, і я виявив, що, надавши "Створити файли / записати дані", це дозволяє саме це. Але знову ж таки, назва говорить про те, що цей дозвіл повинен просто дозволяти створювати файли, а не папки, тож я не розумію, чому він працює? Пояснення Microsoft атрибутом "Створити файли / записати дані" - "Для папок визначає, чи може користувач створювати файли в папці. Для файлів визначає, чи може користувач змінювати файли або перезаписувати дані." Немає згадки про можливість створення підпапок у папці?

Отже, я домігся того, що хотів зробити, але не розумію, чому це працює?

В результаті проб і помилок я виявив, що, не надаючи "Write Attributes", це призводить до того, що користувач не може змінювати / видаляти існуючі файли (що я хочу). Однак я б дуже хотів пояснення, чому саме це працює.

Це функція саме того, як відбувається модифікація файлу. Коли ви змінюєте файл, операційна система фактично не змінює файл, який ви редагуєте. Він замінює файл, який ви редагуєте, зміненою вами копією. Отже, по суті, модифікація файлу бере копію оригінального файлу, завантажує його в пам'ять (там, де ви його модифікуєте), видаляє вихідний файл і створює новий файл з тим же ім’ям в тому самому місці. Ось чому Deleteдля редагування файлів потрібні дозволи NTFS - насправді, якщо ви перевіряєте Advanced permissionsна об’єкт NTFS, Modifyдозволу немає - модифікація насправді є лише видаленням і записом.

Отже, щоб створити цю нову копію файлу, він повинен записати атрибути файлу цього нового файлу ... і, звичайно, для написання атрибутів потрібен Write attributesдозвіл NTFS. Тому ви не можете змінювати файл без Write attributesдозволу NTFS.

Зокрема, завдяки чату з Fitzroy , атрибут файлу NTFS, який потрібно писати відповідно до контексту безпеки користувача (що не може бути без Write Attributesдозволу), під час зміни файлу, але не під час створення абсолютно нового. бути файлом LastModificationTime. Це частина Standard Informationатрибута, на думку одного з розробників Microsoft Core Team .

Це правда: відсутність дозволу "Написати атрибути" призводить до того, що користувач не може змінювати свої файли. А згідно з документацією Microsoft це не має сенсу. Але зміна файлу не означає видалення та відновлення його. Коли програма відкриває файл для модифікації, операційна система не видаляє файл. Але операційна система блокує файл, щоб запобігти одночасній модифікації. Думаю, що блокування файлу підпадає під поняття "зміна атрибутів файлу". Таким чином, неможливість змінити атрибути призводить до неможливості модифікувати файл.

У другій частині вашого запитання я не можу це відтворити. До папки застосовуються два різних дозволу: "Створити файли / ..." та "Створити папки / ...", і вони працювали відповідно до документації під час моїх тестів.