我有一个文件夹 A。我希望用户(我们称他为 darth)能够对文件夹 A 内的文件夹/文件执行任何操作(创建、读取、写入、删除),但 darth 不能删除文件夹 A 本身。为了实现这一点,我应用了以下权限。
C:\>icacls foldera
foldera DHI-VM1\darth:(DENY)(D)
DHI-VM1\darth:(RX,W,WDAC,WO,DC)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
BUILTIN\Administrators:(OI)(CI)(F)
BUILTIN\Users:(OI)(CI)(RX)
BUILTIN\Users:(CI)(S,WD,AD)
CREATOR OWNER:(OI)(CI)(IO)(F)
Successfully processed 1 files; Failed processing 0 files
我知道 Deny 优先于 Allow ,但在这种情况下,Deny 和 Allow 针对的是不同的对象(拒绝删除父文件夹,允许删除子文件夹)。尽管有权限 DC(在 WO 后的第二行),我仍然无法删除文件夹 A 内的任何内容。为什么会这样?
操作系统 - Windows Server 2008 R2
答案1
可以通过操作高级权限和权限继承以不同的方式实现。
例如我如何对用户 mmv 和文件夹进行测试
D:\empty\test>icacls .
VS2K8TS\mmv:(OI)(CI)(IO)(F)
VS2K8TS\mmv:(RX,W,DC)
BUILTIN\Administrators:(I)(OI)(CI)(F)
NT AUTHORITY\system:(I)(OI)(CI)(F)
CREATOR-OWNER:(I)(OI)(CI)(IO)(F)
我只为 mmv 添加了权限。因此 mmv 几乎就像此文件夹中的管理员一样,但无法删除文件夹本身。
请注意,用户(mmv)有两个高级 acl 记录,分别用于文件夹本身和子文件夹和文件。