NTFS: o usuário pode editar / excluir arquivos sem direitos

5

Eu tenho um fenômeno de direitos NTFS muito estranho em um servidor de arquivos e não consigo encontrar meu erro, puxando meu cabelo por horas agora. O que estou perdendo?

Meu objetivo é:

  • O usuário do Group-A deve poder gravar novos arquivos / dobras em uma pasta ("adicionar arquivos"). Eles também devem poder editar os arquivos recém-adicionados.
  • À noite, os arquivos recém-adicionados devem ser "protegidos" de edições / exclusões adicionais pelo Grupo-A. O direito de ler os arquivos e o direito de adicionar mais arquivos novos devem permanecer.

Aqui está o que eu fiz:

  • Criar grupo-A, adicionar usuários
  • Conceda ao Grupo-A (F) acesso total à pasta
  • Crie um script que
    • exclui o bit de herança dos arquivos na pasta
    • remove (F) o acesso total aos arquivos, deixando apenas direitos de leitura

O problema é que meu (s) usuário (s) pode editar e excluir arquivos como se tivessem acesso total. Mesmo que as 'permissões efetivas' não mostrem o direito de editar, o ainda pode.

O script funciona bem e é assim:

icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"

Após o script ser executado, a permissão NTFS em file.jpg é semelhante a esta (parece correto para mim):

Omesmoacontececomasaídaicacls:

d:\folder>icaclsBild1.jpgBild1.jpgWM\DomainAdmin:(F)WM\Domänen-Admins:(F)WM\Group-A:(RX)

Aguiadepermissõesefetivasdessearquivomostraexatamenteamesmacoisa(direita):

As permissões para a pasta pai, os usuários devem poder adicionar arquivos aqui, assim:

Artweger WM\Group-A:(I)(OI)(CI)(F)
         WM\Domänen-Admins:(I)(OI)(CI)(F)

Se este usuário se conectar (ele é apenas em dois grupos, Usuários de Domínio e Grupo-A), ele poderá editar, excluir, renomear e mover o arquivo bild1.jpg. Como isso é possível? O que o NTFS faz com meus planos gloriosos?

    
por bjoster 28.04.2016 / 09:39

1 resposta

3

Eu tive problemas semelhantes há dois meses, este tópico pode ser útil para você.

Primeiramente, eu verificaria se isso ocorre para todos os arquivos ou apenas para os arquivos de propriedade do usuário (altere o proprietário para ver se ele ainda persiste), conforme sugerido por Daniel.

Eu tentaria definir as permissões conforme descrito em o outro thread , mas usando o painel de preferências detalhado no Windows (Botão Avançado no canto inferior direito) e a guia Compartilhamento (não sei ao certo se é assim no Windows Server, no Solaris, é feito dessa maneira). A ideia básica é (citação do segundo encadeamento ligado):

The owner is always allowed to change ACLs on her objects. You can prevent this for shared content by using a share which is only allowing "Everyone:Modify" permissions as this will "filter out" any change ACL requests at the share level. If you want to allow your Administrators to change ACLs, just add "Storage Admins:Full Control" to the share permissions.

    
por 02.05.2016 / 13:59