У нас есть следующий макет
• Общая папка «Клиенты»
• Уровень 1 («Клиент A» / «Клиент B» / «Клиент C» и т. Д.)
• Уровень 2 («Папка 1» / «Папка 2» / «Папка 3» / «Папка 4»)
• Уровень 3 («Документы Word / Таблицы / Необработанные данные и т. Д.»)
Пользователи имеют подключенный диск и получают доступ к папкам следующим образом: Клиенты на сервере T: \ Client A \ Folder 1 \ Word Doc1.doc Каждая папка клиента имеет 4 подпапки на уровне 2, как показано выше.
Проблема в том, что пользователи случайно сохраняют / перемещают / удаляют папки на уровне 1 и уровне 2.
У нас есть группа под названием Admin Staff, которая представляет собой пользователей, которые создают папки на уровне 1 и уровне 2, когда в систему добавляется новый клиент. Этим пользователям необходимо создать / удалить / изменить все детали на всех уровнях.
Все остальные пользователи, например пользователи домена, не должны иметь возможность вносить какие-либо изменения в папки уровня 1 или уровня 2. Однако они должны иметь возможность работать с различными папками на уровне 3. На уровне 3 пользователи могут создавать свою собственную структуру подпапок, если они хотят, и мы рады, что все пользователи имеют возможность читать / писать / изменять на этом уровне.
Как лучше всего настроить сетевые разрешения для выполнения этой задачи, чтобы пользователи не могли по ошибке перемещать папки или удалять клиентские папки.
Спасибо
У нас есть одна папка, которая постоянно случайно перемещалась в соседние папки, поэтому мы создали скрытую папку под названием «~ Anchor», с которой у пользователей нет прав. Кажется, это первое, что система пытается переместить, и поэтому предотвращает перемещение любой другой части дерева папок. Тем не менее, по-прежнему оставляя пользователям возможность переименовывать и перемещать все подпапки и файлы, если им нужно.
Намного лучше отказать в праве на удаление для целевых пользователей, поскольку разрешения «Изменить» подразумевают «Удалить», что и происходит при перемещении каталога.
Это значительно быстрее и проще (вместо графического интерфейса), если вы используете Xcacls.vbs инструмент. Команда может выглядеть примерно так:
cscript xcacls.vbs "<target_directory>" /e /d "<domain\username>":;A
cscript xcacls.vbs "D:\Level1\Level2a" /e /d "MyDomain\LUsers":;A
Параметры, которые я выбрал, включают «Только эта папка и подпапки», поэтому он не будет наследовать, чтобы люди не могли удалять или перемещать файлы, но вы захотите запустить команду для каждого каталога, который хотите защитить.
Вот что бы я сделал:
Уровень 1 и 2 - Группа администраторов - запись, изменение, чтение и т. Д. Пользователи - чтение, список содержимого папки, чтение и выполнение
Нижние уровни - Пользователи - добавьте разрешения на запись и изменение.
Вы можете добавить разрешения на более низких уровнях без проблем. При снятии разрешений на более низких уровнях вам нужно удалить наследование, а затем скопировать разрешения, а затем удалить то, что вам не нужно.
Вам нужно будет создать ACL только для чтения в самой папке верхнего уровня и удалить наследование / распространение, а затем прочитать и записать его содержимое и возможные подпапки. Похоже на беспорядок. Удачи.
Если ваши пользователи чем-то похожи на наших, наиболее вероятная причина случайных перемещений - это непреднамеренная неуклюжесть во время операций перетаскивания. Может быть, некоторая настройка параметров DragHeight и Dragwidth в HKCU \ Control Panel \ Desktop может быть менее радикальным решением?