Permissões NTFS - negar exclusão não funciona

Você deve levar em conta que excluir / renomear um arquivo é, na verdade, uma operação de gravação na pasta pai, que é um "arquivo" especial que contém a lista de filhos (arquivos ou subpastas). Como tal, para evitar a exclusão de um arquivo, você precisa remover a permissão de gravação na pasta pai.

consulte kb 308419 para obter uma explicação:

The Delete permission allows or denies the user from deleting the file or folder. If you do not have a Delete permission on a file or folder, you can delete the file or folder if you are granted Delete Subfolders and Files permissions on the parent folder.

Para negar corretamente o acesso para excluir somente da pasta pai e permitir a exclusão das subpastas, você deve definir dois conjuntos de permissões para o usuário / grupo.

1. Permitir modificar a gravação de leitura. Isso é importante: mantenha a opção "excluir subpasta e arquivos" desmarcada, mas desmarque a opção "EXCLUIR". Descobri que, se um usuário tiver permissão para "excluir", todas as permissões de negação não funcionarão! Isso deve ser aplicado a essa pasta, subpastas e arquivos.

2. DENY o usuário excluir e "excluir subpastas e arquivos" e aplicar a esta pasta apenas.

Eu passei muito tempo tentando descobrir isso e funciona!