Network-Share

限制 NTFS 共享上“不是我的”文件/文件夾的修改/刪除

  • November 14, 2018

這個問題,也許和這個問題有點相似,但實際的計劃是不同的。

我的目標是創建一個“臨時”共享,人們可以在其中解除安裝數據(例如,當他們準備重新安裝作業系統或需要快速與其他員工共享某些內容時)。

現在,雖然“臨時”文件夾根據定義是“臨時的”並且不應該用於長期儲存東西,但我仍然想保持一些安全性。為此,我想授予我的使用者(My.Domain\Domain Users)寫訪問權限(創建文件夾/文件),然後僅修改/刪除對他們自己創建的文件/文件夾的訪問權限。

我懷疑我需要使用“CREATOR OWNER”特殊主體。但是,我覺得要限制修改/刪除功能,我需要向 NTFS 安全選項卡顯式添加拒絕權限,並且拒絕規則 AFAIK 優先於允許規則,因此即使授予 CREATOR OWNER完全許可,將無法實際進行更改。

我想要達到的目標有可能嗎?

以下是誤會:

如果“共享”權限允許寫入,那麼使用者仍然可以刪除,即使 NTFS 設置中沒有明確允許該權限。

共享權限永遠不會讓您能夠覆蓋 NTFS 權限。為了執行給定的操作,您必須在共享和 NTFS 中都具有該操作的權限。您可能看到的是連結問題的答案中提到的“刪除子文件夾和文件”權利的效果:如果您在文件上擁有“刪除”權利“刪除子文件夾” ,則可以刪除文件和文件”就在包含該文件的文件夾上。(刪除文件夾時的行為稍微複雜一些,但要領是相同的。)

解決此問題的最簡單方法是讓使用者在父文件夾上“修改”而不是“完全控制”。

因此,您希望共享文件夾的 NTFS 權限如下所示:

  • 域使用者 - 修改,僅此文件夾
  • CREATOR OWNER - 完全控制所有子文件夾和文件
  • 域使用者 - 讀取/執行,所有子文件夾和文件(假設您希望使用者預設能夠讀取其他使用者的文件)
  • 管理員 - 完全控制,所有子文件夾和文件(以便您可以在必要時刪除內容,例如,屬於已離開使用者的文件)

引用自:https://serverfault.com/questions/939828