Этот вопрос, пожалуй, немного похож на этот вопрос, но реальный план другой.
Моя цель - создать «временный» общий ресурс, где люди могут выгружать свои данные (например, когда они готовятся к переустановке ОС или им нужно быстро поделиться чем-то с другим сотрудником).
Теперь, хотя «временная» папка по определению «временная» и не должна использоваться для длительного хранения, я все же хочу поддерживать некоторую безопасность. С этой целью я хотел бы предоставить своим пользователям (My.Domain \ Domain Users) доступ на запись (создавать папки / файлы), а затем изменять / удалять доступ только к файлам / папкам, которые они сами создали.
Я подозреваю, что мне понадобится специальный принцип "CREATOR OWNER". Однако я считаю, что для ограничения возможностей изменения / удаления мне нужно явно добавить разрешение deny на вкладку безопасности NTFS, а правила запрета, AFAIK, имеют прецедент над правилами разрешения, поэтому СОЗДАТЕЛЬ ВЛАДЕЛЬЦА, даже если он предоставлен полное разрешение, не сможет внести изменения.
Возможно ли вообще то, чего я пытаюсь достичь?
Вот недоразумение:
И если разрешения «общего доступа» разрешают запись, то пользователи все равно могут удалять, даже если это разрешение явно не разрешено в настройках NTFS.
Разрешения общего доступа никогда не дают вам возможности переопределить разрешения NTFS. Чтобы выполнить данное действие, у вас должно быть разрешение на это действие как в общей папке, так и в NTFS. Вероятно, вы видите эффект действия права «Удалить подпапки и файлы», как указано в ответах на связанный вопрос: вы можете удалить файл, если у вас есть либо право "Удалить" на файле или «Удалить подпапки и файлы» прямо в папке, содержащей файл. (Поведение при удалении папки немного сложнее, но основы те же.)
Самый простой способ решить эту проблему - предоставить пользователям «Изменить» в родительской папке, а не «Полный доступ».
Итак, вы хотите, чтобы разрешения NTFS для общей папки выглядели следующим образом: