Temos o seguinte layout
• Pasta compartilhada "Clientes"
• Nível 1 ("Cliente A" / "ClienteB" / "Cliente C" / etc)
• Nível 2 ("Pasta 1" / "Pasta 2" / "Pasta 3" / "Pasta4")
• Nível 3 ("Word Docs / Spreadsheets / Dados Brutos / etc")
Os usuários têm uma unidade mapeada e acessam as pastas da seguinte maneira: Clientes no servidor T: \ Client A \ Folder 1 \ Word Doc1.doc Cada pasta do cliente tem 4 subpastas no nível 2, conforme mostrado acima.
O problema que temos é que os usuários estão salvando / movendo / excluindo acidentalmente pastas no Nível 1 e no Nível 2.
Temos um grupo chamado Admin Staff, os usuários que criam as pastas no Nível 1 e no Nível 2 quando um novo cliente é adicionado ao sistema. Esses usuários precisam criar / excluir / alterar todos os detalhes em todos os níveis.
Todos os outros usuários, por exemplo, Usuários do domínio não devem poder fazer alterações nas pastas Nível 1 ou Nível 2. No entanto, eles devem ser capazes de trabalhar dentro das várias pastas no Nível 3. No nível 3, os usuários podem criar sua própria estrutura de subpastas, se quiserem e ficamos felizes por todos os usuários terem leitura / gravação / modificação nesse nível.
Qual é a melhor maneira de configurar permissões de rede para realizar essa tarefa para evitar que usuários movam pastas por engano ou excluam pastas de clientes.
Obrigado
Isso é o que eu faria:
Nível 1 e amp; 2 - Admin Group - Escrever, Modificar, Ler, etc. Usuários - Ler, Listar Conteúdo da Pasta, Ler e Executar
Níveis inferiores - Usuários - adicione permissões de gravação e modificação.
Você pode adicionar permissões nos níveis inferiores sem problemas. Tirar permissões em níveis mais baixos é quando você precisa remover a herança e, em seguida, copiar as permissões e, em seguida, remover o que não deseja.
Temos uma pasta que foi constantemente movida acidentalmente para uma pasta vizinha, por isso criamos uma pasta oculta chamada '~ Anchor', na qual os usuários não têm permissão para fazer nada. Essa parece ser a primeira coisa que o sistema tenta mover e, portanto, impede que qualquer outra parte da árvore de pastas seja movida. No entanto, ainda deixando aos usuários a capacidade de renomear e mover todas as subpastas e arquivos, se necessário.
É muito melhor negar o privilégio de exclusão para os usuários alvo, já que as permissões "Modificar" implicam "Excluir", que é o que acontece quando você move o diretório.
Isso é significativamente mais rápido e fácil (em vez da GUI) se você usar a ferramenta Xcacls.vbs . O comando pode ser algo como isto:
cscript xcacls.vbs "<target_directory>" /e /d "<domain\username>":;A
cscript xcacls.vbs "D:\Level1\Level2a" /e /d "MyDomain\LUsers":;A
As opções que escolhi incluem "Esta pasta e apenas subpastas", por isso não herdará para impedir que as pessoas excluam ou movam arquivos, mas você desejará executar o comando para cada diretório que deseja proteger.
Você terá que criar uma ACL somente leitura na própria pasta de nível superior e remover a herança / propagação e, em seguida, ler e gravar em seu conteúdo e em possíveis subpastas. Soa como uma bagunça. Boa sorte.
Se os seus usuários forem parecidos com os nossos, a causa mais provável de movimentos acidentais é a falta de jeito inadvertida durante as operações de arrastar e soltar. Talvez algum ajuste das configurações de DragHeight e Dragwidth em HKCU \ Control Panel \ Desktop possa ser uma solução menos radical?