NTFS: impedir / negar a exclusão do diretório em uma pasta "pessoal"

Navegue suas respostas
3

Eu tenho um diretório compartilhado via CIFS de um "servidor" do Windows 7. Nenhum domínio: apenas um grupo de trabalho simples.

Meus clientes acessam esse diretório via LAN através de contas "Usuário padrão" (não "Administrador") no servidor. Eles usam esse compartilhamento para "armazenamento pessoal", então eles precisam criar / editar / excluir todos os itens dentro dele.

O problema é: eu servidor-lado criar um diretório lá. Este item único não deve ser editável de qualquer forma, apenas legível / navegável / listável (vamos nos concentrar no próprio diretório, não no arquivo (não há, às vezes)). / p>

Estou trabalhando com permissões de NTFS: removi o inherit do diretório must-não-delete para que eu possa trabalhar em suas permissões.

Eu removi a conta do cliente e, nesse estágio, somente SYSTEM, Administradores e eu mesmo estamos presentes com suas permissões. Nesse estágio, os clientes não podem excluir nem abrir a pasta.

Se eu adicionar uma regra Negar "controle total", nada será alterado (conforme esperado).

Mas se eu modificar essa regra e permitir apenas "Listar pasta / ler dados", mantendo todos os outros em Negar ... o usuário pode excluir a pasta !?!?!?

como isso é possível? o que sou mal entendido?

Nota: Eu verifiquei com um único arquivo, não um diretório: mesmo problema!

Esta é a saída do Icacls:

NÃO DELETE A AUTORIDADE DE NT \ SYSTEM: (OI) (CI) (F)                 muletto \ Zane: (OI) (CI) (F)                 BUILTIN \ Administradores: (OI) (CI) (F)                 muletto \ myNetworkUser: (OI) (CI) (RX)

1 arquivos foram processados com sucesso; Falha ao processar 0 arquivos

    
por Dr. Gianluigi Zane Zanettini 11.11.2012 / 12:07

1 resposta

2

OK. Posso confirmar que um usuário pode excluir um arquivo (ou remover um diretório vazio) sem ter acesso de gravação a esse arquivo / diretório se tiver acesso Excluir filho ao diretório pai. Se eu estava ciente disso antes, eu tinha me esquecido disso, mas é um comportamento documentado, por exemplo, veja KB101651 .

Existem (pelo menos) três maneiras de resolver seu problema:

  • Conceda aos usuários Modificar o acesso em vez do acesso Controle Total ao diretório pai. As únicas diferenças entre Controle Total e Modificar são o direito Excluir Filho (permitindo que o usuário exclua objetos filho) e o direito Gravar DAC (permitindo que o usuário altere as permissões no objeto, mesmo que não sejam o proprietário).

  • Defina as permissões no compartilhamento para Modificar em vez de Completo. Isso deve ter o mesmo efeito, mas afetará apenas os usuários da rede, não os usuários interativos. Um efeito colateral é que os usuários não podem alterar as permissões, mesmo em seus próprios arquivos.

  • Defina o sinalizador somente leitura no arquivo / diretório filho. A documentação não está clara neste ponto, mas meu teste (Windows 7) indica que Excluir filho não permite excluir arquivos ou remover diretórios com o conjunto de sinalizadores somente leitura. Também não permite redefinir o sinalizador somente leitura. Observe que a GUI do Explorer implica que o sinalizador somente leitura não tem efeito nos diretórios; na verdade, impede que o diretório seja removido. (Ele não impede que novos arquivos sejam gravados no diretório.) Adendo: o sinalizador somente leitura não impede que um diretório seja movido.

Outras notas:

  • Você poderia negar explicitamente o direito Excluir filho ao diretório pai, mas se o usuário tiver Controle total para o diretório pai, ele poderá remover a entrada de negação.

  • Ter o direito Excluir filho no diretório pai não permite que os usuários excluam arquivos do diretório filho ou remova o diretório-filho, a menos que esteja vazio. Adendo: permite que os usuários movam o diretório filho.

por 14.11.2012 / 01:25

Tags

Senha protegida específica da pasta compartilhada no Windows XP Por que o Windows 8 não permite configurar o histórico de arquivos se a Recuperação de arquivos do Windows 7 estiver configurada?