Назад | Перейти на главную страницу

Как разрешить пользователям редактировать в общей папке, но не позволять им удалять файлы внутри

Я ИТ-специалист в школе. Мы используем DC и файловый сервер, поэтому учителя используют пользователя домена под своим именем. Существуют папки с файлового сервера, которые совместно используются учителями, и вопрос в том, как сделать так, чтобы учетные записи учителей могли читать / редактировать файлы внутри общих папок, но не позволять им удалять какие-либо файлы внутри них?

а иногда, если сотрудники или учителя входят в систему, используя свою учетную запись домена, профиль не загружается или общие папки не будут подключены / отображаться в «Мой компьютер». и иногда учитель подходил ко мне и говорил, что он не может войти в общую папку, компьютер выдает ему сообщение об ошибке «Клиент групповой политики».

Заранее спасибо!!!

сервер: Windows Server 2008 Standard, рабочие станции: Windows XP и 7

Это вполне возможно с правами NTFS, но это далеко не стандартная конфигурация. Нам пришлось сделать что-то подобное, создать выпадающие списки: каталоги, в которые студенты могли копировать файлы, но не могли удалить их, когда они были там, или видеть любые другие каталоги. Выполнимо с помощью некоторых нестандартных работ.

Ключ в понимании того, как разные права действуют при установке на файлы и каталоги.

Чтобы получить то, что вы ищете, создайте / измените, но не удаляйте файлы в данном каталоге:

  • В каталоге:
    • Право «Создание файлов» (icacls: WD) дает возможность создавать файлы.
    • Право «Список папок» (icacls: RD) предоставляет возможность отображать файлы.
  • О файлах в каталоге (задаются в каталоге, но наследуются)
    • Право «Чтение данных» (icacls: RD) дает возможность читать файлы.
    • Право «Запись данных» (icacls: WD) дает возможность редактировать файлы.
    • Право «Добавить данные» (icacls: Ad) дает возможность изменять файлы (для таких вещей, как базы данных Access, которые фактически изменяют их, а не просто удаляют / воссоздают).

Призыв icacls к этому будет выглядеть примерно так:

icacls M:\FacStaff\Physics\ /grant PhysFac:(OI)(CI)(WD)(RD)
icacls M:\FacStaff\Physics\ /grant PhysFac:(IO)(AD)

Только есть еще один шаг. По умолчанию Создатель / Владелец получает гораздо больше прав, чем вы хотели бы. Так что вам тоже нужно изменить это:

icacls M:\FacStaff\Physics\ /grant *S-1-3-0:(oi)(ci)(rd)(wd)

Это изменяет Создателя / Владельца на соответствующие ограничения.


Однако я должен предостеречь. Большинство файловых форматов Office выполняют процесс удаления-созданияNewFile, когда кто-либо нажимает «Сохранить». Каталоги, которые пользователи не могут удалять, не так полезны для обычной офисной работы.