最近我试图限制普通用户的“删除”权限。为此,我做了以下操作:
(从波兰语 Win 版本翻译,可能存在细微差别)右键单击给定目录 -> 属性 -> 安全 -> 高级 -> 更改权限 -> 我已取消标记第一个复选框以停止从父目录继承权限 -> 我已为用户添加了特殊权限 - “删除”和“删除子文件夹和文件”。
结果,我无法以普通用户的身份删除这些文件/目录,系统询问我管理员密码 - 这很好,正如我所料。但是,当我输入管理员密码时,文件不会被删除,并且会出现一个消息框,提示我需要管理员权限才能执行此操作。此外,当我尝试为管理员重复这些步骤时,它给出了相同的结果,我无法删除我执行上述更改的文件/目录,即使我以执行这些更改的管理员帐户身份登录。
有人能帮我解决我的问题吗?我不明白,为什么拒绝用户的删除权限会导致管理员用户也无法删除...
回答您的第一个问题,隐藏的管理员帐户已被禁用,我没有使用它,只是使用了我的管理员帐户。
答案1
拒绝 ACE 会首先被评估,并且优先于其他所有 ACE。如果要删除继承了拒绝 ACE 的对象,则需要清除继承标志,然后仅从该对象中删除拒绝 ACE。
使用“拒绝”来阻止删除是一项非常棘手的任务。不要授予包括删除在内的更改权限,而只授予读取权限。
这详细解释
https://technet.microsoft.com/en-us/library/cc783530(v=ws.10).aspx
For example, you might want to allow domain administrators to perform an action but deny domain users. If you attempt to implement this by explicitly denying domain users, you also deny any domain administrators who are also domain users. Though it is sometimes necessary, you can and should avoid the use of explicit denies in most cases.