Назад | Перейти на главную страницу

Разрешение Windows - запретить создание подпапок, но разрешить редактирование файлов.

В настоящее время я пытаюсь настроить папку на файловом сервере (Windows Server 2012 r2), где некоторые пользователи могут создавать и редактировать файлы, но не могут создавать подпапки. Я предполагал, что с расширенными разрешениями будет легко, просто сняв флажок «Создать / добавить папки», должно получиться, поэтому я так и сделал.

Однако, когда я это сделаю, пользователи с указанными разрешениями смогут открывать файлы в папке только в режиме только для чтения. Что еще более запутанно, они все еще могут делать все остальное, например сохранять под другим именем, создавать файл, удалять файл ... так что в некотором смысле они все еще могут редактировать файл (сохраняя его под именем "файл2", удаляя " file1 ", затем переименовав" file2 "в" file1 "), но это огромная боль.

Я пробовал работать с файлами Excel, Word и даже с файлами .txt, поэтому могу предположить, что затронуты все типы файлов.

Я наткнулся на этот в то время как поиск в Google моей проблемы, но добавление запрещающего правила, как было предложено, приводит меня к тому же результату.

Что-то мне не хватает?

Кстати, если это важно, это происходит как на клиентах Windows 10, так и на RDP W2012R2.

Итак, я нашел решение благодаря комментарию Гарри Джонстона, приветствую его:

На вкладке «Безопасность»> «Дополнительно» вам необходимо установить 2 набора разрешений для любой заинтересованной группы:

-Один применяется к папкам, подпапкам и файлам (по умолчанию), где вы снимаете галочку с разрешения «Создание / добавление папок».

-Одна применена ТОЛЬКО К ФАЙЛАМ где вы даете им обычные разрешения на редактирование.

Тем не менее, я должен сказать, что это невероятно нелогично, когда снятие флажка «Создать / добавлять папки» влияет на другие вещи, кроме папок. На самом деле своего рода поражение всей цели.

Я бы настроил это так:

Если вам сложно читать картинку, вот записи в текстовой форме:

  • Администраторы: Полный доступ, распространяется на эту папку, подпапки и файлы.
  • Пользователи: полный доступ, применяется только к файлам
  • Пользователи: создание файлов / запись данных, применяется только к этой папке
  • Пользователи: чтение и выполнение, применяется к этой папке, подпапкам и файлам.

(Вариант, описанный в вашем самоответе, тоже будет работать, если вы сделаете это таким образом, просто сделаете намерение немного более ясным для тех, кто посмотрит на него позже.)

Основная проблема заключается в том, что файлы и папки имеют один и тот же набор разрешений, и некоторые из них имеют другое значение для файлов, чем для папок.

В частности, право доступа «создавать папки / добавлять данные» имеет следующие эффекты:

  • Для папки это позволяет вам создавать новые подпапки в папке.
  • Для файла он позволяет вам добавлять данные в конец файла.

Поэтому, если приложение не имеет права на конкретный файл, оно не может сделать этот файл длиннее, чем он есть. В этом отношении, согласно строгому прочтению документации, он также не может уменьшить его - но я не уверен, что это действительно так. :-)

В любом случае это обычно означает, что приложение вообще не может открыть файл для записи. Большинство приложений запрашивают общий доступ для записи при открытии файлов для редактирования, включая право на добавление данных. В этом сценарии это не сработает, и приложение, как правило, либо полностью выйдет из строя, либо вернется в режим только для чтения.