Windows
NTFS:使用者可以在沒有權限的情況下編輯/刪除文件
我在文件伺服器上有一個非常奇怪的 NTFS 權限現象,我找不到我的錯誤,現在已經拉了幾個小時了。我錯過了什麼?
我的目標是:
- 來自 Group-A 的使用者應該能夠將新文件/文件夾寫入文件夾(“添加文件”)。他們還應該能夠編輯那些新添加的文件。
- 晚上,新添加的文件應受到“保護”,以免被 Group-A 進一步編輯/刪除。應該保留讀取文件的權利和添加更多新文件的權利。
這是我所做的:
創建Group-A,添加使用者
授予 Group-A (F) 對該文件夾的完全訪問權限
創建一個腳本
- 刪除文件夾中文件的繼承位
- 刪除 (F) 對文件的完全訪問權限,保留只讀權限
問題是,我的使用者可以編輯和刪除文件,就像他們擁有完全訪問權限一樣。即使“有效權限”顯示無編輯權限,仍然可以。
該腳本工作正常,如下所示:
icacls d:\folder\Bild1.jpg /inheritance:d icacls d:\folder\Bild1.jpg /remove:g Group-A"
腳本執行後,file.jpg 上的 NTFS 權限如下所示(對我來說看起來是正確的):
icacls 輸出也是如此:
d:\folder>icacls Bild1.jpg Bild1.jpg WM\DomainAdmin:(F) WM\Domänen-Admins:(F) WM\Group-A:(RX)
該文件的有效權限選項卡顯示完全相同(正確)的內容:
父文件夾的權限,使用者應該可以在這裡添加文件,如下所示:
Artweger WM\Group-A:(I)(OI)(CI)(F) WM\Domänen-Admins:(I)(OI)(CI)(F)
如果此使用者登錄(他只是在兩個組中,域使用者和組 A),他可以編輯、刪除、重命名和移動文件 bild1.jpg。**這怎麼可能?**NTFS 對我的光榮計劃做了什麼?
兩個月前我遇到過類似的問題,這個文章可能對你有幫助。
正如 Daniel 所建議的那樣,我將首先檢查是否所有文件或僅使用者擁有的文件都會發生這種情況(更改所有者以查看它是否仍然存在)。
然後我會嘗試按照另一個執行緒中的描述設置權限,但是使用 Windows 中的詳細首選項窗格(右下角的高級按鈕)和共享選項卡(我不確定這是否是這樣做的在 Windows Server 中,在 Solaris 中以這種方式完成)。基本思想是(引用第二個連結執行緒):
始終允許所有者更改其對像上的 ACL。您可以通過使用僅允許“Everyone:Modify”權限的共享來防止共享內容髮生這種情況,因為這將“過濾掉”共享級別的任何更改 ACL 請求。如果您想允許您的管理員更改 ACL,只需將“儲存管理員:完全控制”添加到共享權限。