我设置了一个用户帐户,使其可以创建文件夹/文件,但不能删除其他用户创建的文件夹/文件;但是,他们仍然可以删除自己创建的文件夹/文件。我不希望他们有这种能力。
有什么方法可以禁止用户删除内容,即使他们是所有者/创建者?
或者,我可以在创建文件夹/文件时自动将其所有者更改为管理员,从而阻止一般用户帐户删除它吗?
有什么想法或建议吗?
答案1
关键在于,如果文件的 ACL 允许用户删除该文件,那么用户就可以删除该文件或者包含目录的 ACL 为他们提供了删除子项的权限。您需要确保此受限用户不会获得任何权限。在他们不应能够从中删除文件的特殊文件夹中,在“高级安全设置”窗口中为他们分配以下权限:
- 允许“此文件夹和子文件夹”上的“遍历文件夹/执行文件”、“列出文件夹/读取数据”、“读取属性”、“读取扩展属性”、“创建文件/写入数据”、“创建文件夹/附加数据”和“读取权限”
- 拒绝对“此文件夹、子文件夹和文件”进行“删除子文件夹和文件”、“删除”和“更改权限”
- 允许完全控制“仅文件”(这将受到先前的拒绝规则的控制)
但是因为该用户是他们创建的任何文件的所有者,所以他们有权更改权限以允许删除。谜题的最后一部分是神秘的OWNER RIGHTS原则。您可以在用户选择对话框中直接键入该短语,在该对话框中您通常会键入用户或组的名称。在文件夹上创建最后一条规则,仅授予“仅子文件夹和文件”的“读取权限” OWNER RIGHTS。那么成为该文件夹中文件所有者的唯一好处是它保证能够查看 ACL,但不能更改它。
答案2
防止 NTFS 对象所有者更改权限
如果用户通过 Windows 网络共享访问其数据,系统管理员可以通过不授予完全控制权限来阻止 NTFS 文件或文件夹的所有者更改权限分享允许:
归功于本文对于这个概念。
因此,首先授予用户的任何权限都将保持有效,即使对于对象所有者也是如此,因为他们无法行使作为所有者的能力来授予自己服务器管理员不允许的权限。
答案3
只需使用拒绝权限,因为它们会否决允许权限。
请注意,在任何情况下,所有者都可以修改权限以允许删除文件。如果发生这种情况,这显然是自愿行为,而不是意外行为,通常这是可以接受的。
另外,请注意,如果您设置拒绝权限,那么您以及服务器上运行的某些程序和脚本很可能将无法再删除或移动文件,直到您再次更改权限。
答案4
根据您想要这样做的原因,定期备份到用户无法访问的位置可能是一个解决方案。