Можно ли создать группу безопасности, которая может читать, кто имеет разрешение делать что в папках NTFS, но без предоставления полного доступа или разрешения группе открывать файлы в этих папках?
Минимальное разрешение, необходимое для чтения разрешений папки (DACL), составляет READ_CONTROL («Разрешение на чтение»). Если вы также хотите иметь возможность просматривать подпапки папки, требуется FILE_LIST_DIRECTORY («Список папок»).
Но будьте осторожны: при установке в каталоге FILE_LIST_DIRECTORY дает вам право перечислять дочерние элементы, но при установке в файле он позволяет вам читать содержимое.
Таким образом, вы, вероятно, захотите использовать FILE_LIST_DIRECTORY + READ_CONTROL, установить его в корневом каталоге и разрешить (наследовать) только вложенные папки, но не файлы.
С участием SetACL вы можете установить такие разрешения следующим образом:
SetACL -on PathToDirectory -ot file -actn ace -ace n: UserOrGroup; p: list_dir, read_dacl; i: so
Привет, я думаю, вам нужно только разрешение на содержимое папки списка.
Хотя эта статья предназначена для Windows XP, таблица представляет собой хорошую диаграмму специальных разрешений.
http://support.microsoft.com/kb/308419
Список папок / чтение данных Разрешение «Список папок» позволяет или запрещает пользователю просматривать имена файлов и имена вложенных папок в папке. Разрешение «Список папок» применяется только к папкам и влияет только на содержимое этой папки. Это разрешение не изменяется, если папка, для которой вы устанавливаете разрешение, указана в списке папок.