Evitar que usuários não administradores excluam arquivos no Windows 7

No Windows, um arquivo geralmente obtém sua ACL da pasta na qual ele é criado. Se a pasta permitir que os não proprietários de arquivos os excluam, eles poderão até mesmo se o proprietário for um administrador.

Como você nota, você pode alterar isso para um arquivo, uma pasta ou uma árvore de pastas.

Para alterar para todas as pastas, primeiro é preciso identificar quais árvores de pastas você deseja alterar (por exemplo, você não deve começar a alterar as permissões de C:\Users , C:\Windows , ... e outras pastas do sistema).

Em seguida, para cada um deles, você precisa modificar a ACL. Isso pode ser feito em código ou script (por exemplo, PowerShell), mas precisa de mais tempo para escrever do que agora (se você quiser apenas copiar uma ACL para outra pasta, pode get-acl no primeiro e, em seguida, set-acl on o outro).

No entanto, sugiro que você considere por que deseja fazer isso. Se um usuário precisar criar arquivos que somente eles possam excluir, o melhor caminho é criar uma pasta, com uma ACL específica, para essa finalidade. Não fazer algumas mudanças globais, então o administrador não precisa pensar.

Quando você cria uma pasta como administrador, ela e seu conteúdo aplicam um nível de segurança padrão que fornece às contas do grupo Usuários a leitura e a execução, mas não a exclusão. Eu concordaria com o comentário de Richards em vez de definir permissões explícitas. Eu definiria o que você quer fazer e me certificaria de que as outras contas de usuário usem o grupo de usuários apropriado. Se você tiver outras contas de usuário e elas estiverem no grupo de administradores, elas poderão acessar qualquer pasta se detalharem o sistema de arquivos como administrador. Mesmo se você definir permissões explícitas para uma conta de usuário, um usuário do grupo de administração poderá assumir a propriedade e, em seguida, fazer as alterações desejadas. Apenas uma conta mais limitada impedirá isso.