Я пытаюсь предотвратить перемещение папок, на самом деле удаление папок на языке NTFS для ряда папок в общей сетевой папке.
Допустим, у меня есть: FolderA, FolderB, FolderC. В каждой папке есть различные файлы и подпапки. Я хочу, чтобы группа «Пользователи домена» имела доступ на изменение всех файлов и папок в папках FolderA, FolderB и FolderC. Однако я не хочу, чтобы они могли удалить эти три папки верхнего уровня.
Проблема, с которой мы сталкиваемся прямо сейчас, заключается в том, что люди продолжают случайно перетаскивать одну папку верхнего уровня в другую.
Я пробовал использовать расширенные разрешения NTFS, чтобы запретить пользователям домена удалять доступ к этим папкам верхнего уровня, и установить разрешения для применения к «Только этой папке», однако, похоже, это влияет только на подпапки, а не на верхний уровень.
Платформа - Server 2008 Standard.
Заранее спасибо.
«Запретить» обычно не подходит для работы и является признаком того, что ваша иерархия разрешений перевернута.
Вместо отказа в разрешениях предоставьте «Пользователи домена» разрешение «Список содержимого папки» для «Только эта папка» и «Изменить» для «Подпапок и файлов». Это позволит им перечислить содержимое папки верхнего уровня, но не позволит удалить ее. Они по-прежнему смогут изменять подпапки и файлы в папке и подпапках верхнего уровня. Это предполагает, что «Пользователи домена» не наследуют чрезмерных прав от родительской папки. Если это так, то вам нужно будет остановить наследование разрешений (что заставляет меня плакать).
Задайте следующие ACE в папках верхнего уровня для пользователей домена с помощью диалогового окна Advanced permissions:
This Folder, Subfolder, and files
-> Traverse
, List
, Read Attributes
, Create Files
, Write Data
, Create Folder
, Append Data
, и Read Permissions
Subfolders and files
-> Modify
(все, кроме Full control
и Take/Change ownership
)В каждой папке верхнего уровня создайте файл-заполнитель. Из командной строки:
cd /d "Z:\[TopLevelFolder]"
notepad " placeholder.txt"
NB: убедитесь, что между вводной цитатой и placeholder.txt
. Когда откроется блокнот, нажмите «Да», чтобы создать новый файл, затем закройте блокнот (сохранение при появлении запроса).
Установить ACL
на placeholder.txt
к Read Only
для domain users
группа. Это нужно сделать через Advanced NTFS permissions
диалог; необходимо удалить наследование и явно указать запись для этого файла.
Необязательно: установите Hidden
атрибут на placeholder.txt
чтобы предотвратить отображение Explorer - в состоянии по умолчанию - для пользователя.
Ноты.
В рамках расширенных разрешений вам необходимо предоставить права «Удалить подпапки и файлы» для папок верхнего уровня «пользователям домена».