Como permitir que os usuários possam editar em uma pasta compartilhada, mas não permitir que eles excluam arquivos dentro

3

Sou técnico de informática em uma escola. Estamos usando o DC e o servidor de arquivos para que os professores usem um usuário de domínio com seu próprio nome. Existem pastas do servidor de arquivos que são compartilhadas com os professores, e a questão é como fazer com que as contas dos professores possam ler / editar os arquivos dentro das pastas compartilhadas, mas não permitir que eles excluam quaisquer arquivos dentro delas?

e, às vezes, se a equipe ou os professores fizerem login usando sua conta de domínio, o perfil não será carregado ou as pastas compartilhadas não serão conectadas / exibidas em "Meu computador". e às vezes um professor chegou até mim e dizendo que ele não pode ir dentro da pasta compartilhada, o computador dá a ele a mensagem de erro sobre "Cliente da Diretiva de Grupo".

Obrigado antecipadamente !!!

servidor: Windows Server 2008 Standard estações de trabalho: Windows XPs e 7s

    
por Eddy 16.03.2012 / 03:12

1 resposta

6

Isso é totalmente possível com direitos NTFS, mas está longe de ser uma configuração padrão. Tínhamos que fazer algo semelhante, criar caixas de depósito: diretórios onde os alunos podiam copiar arquivos, mas não conseguiam excluí-los nem ver outros diretórios. Factível com algum trabalho personalizado.

A chave é entender como direitos diferentes se comportar quando definido em arquivos e diretórios .

Para obter o que você está procurando, crie / modifique, mas não exclua, arquivos em um determinado diretório:

  • No diretório:
    • O direito "Criar arquivos" (icacls: WD) concede a capacidade de criar arquivos.
    • O direito "List Folder" (icacls: RD) concede a capacidade de listar arquivos.
  • Nos arquivos no diretório (definidos no diretório, mas herdados)
    • O direito "Ler Dados" (icacls: RD) concede a capacidade de ler arquivos.
    • O direito "Gravar dados" (icacls: WD) concede a capacidade de editar arquivos.
    • O direito "Anexar dados" (icacls: Ad) concede a capacidade de modificar arquivos (para coisas como bancos de dados do Access que realmente os modificam, não apenas excluir / recriar)

A chamada dos icacls para isso seria algo como:

icacls M:\FacStaff\Physics\ /grant PhysFac:(OI)(CI)(WD)(RD)
icacls M:\FacStaff\Physics\ /grant PhysFac:(IO)(AD)

Só há mais um passo. Por padrão, o Criador / Proprietário recebe muito mais direitos do que você gostaria. Então você tem que modificar isso também:

icacls M:\FacStaff\Physics\ /grant *S-1-3-0:(oi)(ci)(rd)(wd)

Isso muda o Criador / Proprietário para ser apropriadamente restritivo.

Eu devo cautela, no entanto. A maioria dos formatos de arquivo do Office faz um processo delete-createNewFile quando alguém acessa Salvar. Diretórios em que os usuários não podem excluir não são tão úteis para o trabalho de escritório em geral.

    
por 16.03.2012 / 03:51

Tags