Como evitar que os usuários excluam uma pasta, enquanto ainda lhes permite modificar as permissões para outros arquivos e pastas?

Navegue suas respostas
1

Estou tentando impedir que os usuários excluam acidentalmente uma determinada pasta em uma pasta pai e, ao mesmo tempo, conceda a eles permissão de modificação em todos os outros arquivos e pastas da pasta pai. Mas eles também devem poder modificar arquivos e pastas nessa determinada pasta.

Neste comentário para um problema semelhante, meu problema é descrito muito bem, mas não houve resposta para este comentário. link Esta é minha estrutura: 

Folder A
|-Folder B
|-Folder C
| |+Folder E
| | |+ a.doc
| |+Folder F
| | |+ b.doc
| |+c.doc
|-D
  • Pasta A - Ler / Executar
  • Pasta B / D - Leitura / Execução (herdada de A) + Leitura / Gravação / Exclusão para Fils / Subpastas
  • Pasta C - Leitura / Execução (herdada de A) + Leitura / Gravação / Exclusão para Fils / Subpastas, EXCETO para Pasta E! Esta pasta não deve ter permissão para excluir, mas na pasta o usuário deve ser capaz de ler / gravar / excluir subpastas e arquivos.

Eu tentei muitas maneiras diferentes de combinações de permissão, mas nada funcionou. Alguém tem uma idéia de como resolver esse problema?

Aqui estão dois screenshots de minhas configurações avançadas para a pasta E: Pasta de configurações avançadas E Permissões especiais herdadas para o usuário "Bearbeiter"

    
por Astrid 05.02.2016 / 11:50

2 respostas

2

I am trying to prevent users from accidentally deleting a certain folder in a parent folder, while still giving them modify permission on all other files and folders in the parent folder. But they should be also able to modify files and folders in this certain folder

Evitar a exclusão de pastas ou arrastar e soltar inadvertidamente com segurança NTFS

Se você quiser evitar que uma pasta específica seja excluída ou arrastada e solta em outro lugar, mesmo que tenha permissões implícitas elevadas, você pode definir uma explícita DENY para o FOLDER ONLY para a conta de usuário ou grupo de segurança que você deseja impedir que essa ação seja executada.

Você pode concluir esse bloqueio de segurança da pasta usando ICACLS com um caminho local (por exemplo, C:\Path\FolderA\FolderE ) ou um caminho UNC (por exemplo, \server\share\FolderA\FolderE ).

Exemplo de sintaxe ICACLS para executar a partir de um prompt de comando elevado 

ICACLS "\server\share\FolderA\FolderE" /deny "<UserOrGroupNameToDeny>":(DE)

Permissões usadas 

/deny user:permission
   Explicitly deny the specified user access rights.
   This will also remove any explicit grant of the 
   same permissions to the same user.

perm is a permission mask and can be specified in one of two forms:
   a comma-separated list in parentheses of specific rights:
         DE - delete

O que isso faz

A execução do acima com essas opções nessa sintaxe definirá um DENY explícito para a permissão DELETE do NTFS nesse FOLDER ONLY para essa conta de usuário específica do grupo de segurança .

Você pode confirmar as permissões de negação para a pasta da conta de usuário ou do grupo de segurança:

  • right-click da pasta que você usou no comando
  • Selecione a guia Segurança ,
  • Na área Group or user name: , role para ou selecione e destaque a conta ou grupo que você usou no comando,
  • Na área Permissions for Administrators , você verá os atributos de permissão NTFS para Allow e Deny
  • Você verá uma marca de verificação na coluna DENY da linha special permissions da conta ou do grupo que você usou no comando

  • SelecioneAvançadoeváparaaguiaPermissões
  • VerifiqueovalorName(ouPrincipal)quevocêusounocomando,porDENYnocampoType
  • OcampoPermissions(ouAccess)devemostrarDeleteeApplyto(ouAppliesto)mostrarthisfolderonly

NOTAS

ObservequedesmarcarumatributoALLOWDELETEnãoéomesmoquedeixaroatributocomoestáecriarumaregradeACLNTFSseparadaparaessemesmogrupodesegurançaoucontadeusuárioinformandoparaDENYasegurançaDELETEexplicitamente.

EstasoluçãoNÃOimpedeousodeDELETEdestaforma

(ERRADO)

EstasoluçãoDECLARAexplicitamenteDENYDELETEnestenívelAPENASPARAESTEPEDIDO

(CORRETO)

(CORRETO)

Leituraadicionalerecursos

  • ICACLS
por 05.02.2016 / 15:47
0

Isso não é possível. Você pode criar uma pasta para não poder ser excluída removendo os direitos de modificação, mas isso fará com que todos os arquivos nessa pasta obtenham automaticamente o mesmo direito, impossibilitando que as pessoas trabalhem em novos arquivos nessa pasta.

Você pode criar subpastas e desativar a herança de direitos para que as pessoas possam trabalhar nessas pastas, mas você deve mover as pastas restantes para uma subpasta ou não fazer isso.

Você também pode conceder aos arquivos direitos diferentes dos da pasta pai, mas isso só permitiria que as pessoas editassem os arquivos existentes, inclusive excluí-los. Mas quando eles querem copiar ou criar um novo arquivo nessa pasta, eles não podem.

Além disso, observe que o sistema de arquivos que você está sugerindo é uma prática ruim. Você desejará definir a permissão em um nível tão alto quanto possível, configurando a herança para todos os subarquivos. A razão é que você pode enviar os direitos para todas as pastas filhas. Se isso for feito a partir de uma pasta mais alta, todos os direitos serão removidos.

Mas, o suficiente para dizer, não é possível fazer com que uma pasta não possa ser excluída / movida enquanto seu conteúdo pode. Se a exclusão for uma grande preocupação para você, ative a Cópia de Sombra de Volume e, opcionalmente, um backup. Se uma pasta for movida, ela será movida dentro do VSS também. Se excluído, você pode simplesmente recuperar a exclusão do VSS (restaurar versões anteriores). Se a mudança é uma preocupação e você não pode encontrar onde ela foi movida, faça um backup diário e, claro, você sempre pode tentar instruir as pessoas a simplesmente não apagar / mover essas pastas.

Esse tipo de ação geralmente ocorre porque as pessoas simplesmente não estão cientes de que não devem movê-las, e excluir por acidente pode ser desfeita usando o VSS.

    
por 05.02.2016 / 11:57

Tags

janelas do terminal SSH FreeBSD A impressora laser com caneta esferográfica é segura?