Eu tenho uma configuração onde há uma junção de diretório em um compartilhamento de rede que aponta para um diretório fora do compartilhamento. Não importa quais permissões eu configurei, o usuário pode excluir o ponteiro de junção.
A pasta é estrutura é a seguinte:
c:\Share\ (The shared directory)
c:\Other\
c:\Share\Other\ (A directory junction to c:\Other\)
O usuário precisa ser capaz de gravar em c:\Share\ , mas ler somente a partir de c:\Other\ .
As permissões mais básicas que eu posso dividir são (para o usuário):
c:\Share\ - Allow - Modify - This directory, sub folders, and files
c:\Share\Other\ - Allow - Read - This directory only
c:\Share\Other\ - Deny - Delete - This directory only
c:\Other - Allow - Read - This directory, sub folders, and files
Todos os diretórios são definidos para não herdarem, embora Share e Other estejam configurados para propagar.
As únicas outras permissões configuradas em qualquer uma delas são: O administrador está cheio de tudo (e o usuário de teste não é um administrador).
Com essa configuração e o usuário montado no diretório Share , eles podem excluir o link para Other .
Se eu remover o Allow/Read no link, eles não poderão excluir o link, mas também não poderão acessá-lo.
Eu tentei muitas outras combinações, mas estas parecem ser as permissões mais 'puras'. Basicamente tudo funciona até que o Allow/Read seja adicionado ao link, o que parece substituir o Deny/Delete que contradiz todas as regras! Talvez eu tenha tropeçado em algum bug obscuro?
Isso é em 2008 R2 e 2012.