Я столкнулся с проблемой при попытке создать общую папку на томе NTFS в экземпляре Windows 2003 R2:
Учетная запись, используемая для администрирования, не должна иметь - из-за конфиденциальности данных - доступ к самой папке или к файлам в ней. Этот доступ должен быть ограничен владельцем данных.
Но, увы, как я выяснил, для создания общего ресурса требуется как минимум разрешение «Список папок / чтение данных»!
Итак, чтобы достичь своей цели, мне пришлось бы либо
Или мне не хватает третьего варианта?
Если вы говорите о «настоящем администраторе» (например, о человеке, входящем в группу «Администраторы», вам будет сложно это сделать.
Я не думаю, что вы можете запретить доступ администратора к некоторым файлам: даже если настроить списки управления доступом на запрет доступа, администратор всегда может изменить сам ACL.
Даже второй подход (позволить пользователю создавать подпапку самостоятельно) открыт для «любопытного» администратора, поскольку, опять же, ничто не может помешать настоящему администратору читать / записывать любой файл.
Если вы говорите о «общем доступе», но не о системном администраторе, второй подход может сработать.