我的操作系统是 Windows 7 Ultimate。我注意到我的电脑的非管理员用户可以删除由管理员用户创建的文件。如何防止非管理员用户删除/修改不是由该用户创建的文件?
我知道如何使用文件/文件夹属性对话框中的“安全”选项卡。使用该选项卡,只能配置单个文件/文件夹及其子文件夹,以便特定用户/用户组无法修改它。我想知道一种方法,让所有非管理员用户都无法修改不是由他们创建的文件。
提前致谢。
答案1
在 Windows 中,文件通常从其创建所在的文件夹获取其 ACL。如果文件夹允许文件的非所有者删除它们,那么即使所有者是管理员,他们也可以删除它们。
正如您所注意到的,您可以为文件、文件夹或文件夹树更改此项。
要更改所有文件夹,您需要首先确定要更改哪些文件夹树(例如,您不应该开始更改C:\Users、、C:\Windows...和其他系统文件夹的权限)。
然后,您需要针对每个文件夹修改 ACL。这可以通过代码或脚本(例如 PowerShell)完成,但需要比我现在更多的时间来编写(如果您只想将一个 ACL 复制到另一个文件夹,则可以先复制到第一个文件夹get-acl,然后再set-acl复制到另一个文件夹)。
不过我建议你考虑一下为什么您想这样做。如果用户需要创建只有他们才能删除的文件,最好的方法是为此目的创建一个具有特定 ACL 的文件夹。不要进行一些全局更改,这样管理员就不必思考了。
答案2
当您以管理员身份创建文件夹时,该文件夹及其内容将应用默认安全级别,即允许用户组中的帐户读取和执行,但不能删除。我同意 Richards 的评论,而不是定义明确的权限,我会定义您想要做什么,并确保其他用户帐户使用正确的用户组。如果您有其他用户帐户,并且他们属于管理员组,那么如果他们以管理员身份深入到文件系统,他们将能够访问任何文件夹。即使您为一个用户帐户设置了明确的权限,管理员组中的用户也可以取得所有权,然后进行他们想要的任何更改。只有更受限制的帐户才能阻止这种情况。