我想阻止非管理员用户编辑服务器共享中的文件权限。我尝试仅授予“修改”权限(不授予“更改权限”和“取得所有权”特权):
这适用于现有文件,但如果用户创建新文件在此共享中,他成为文件所有者。作为所有者,他可以更改所有权限!这已在 Windows Server 2016 中进行了测试。
答案1
如果用户在此共享中创建新文件,则他将成为文件所有者。作为所有者,他可以更改所有权限!
解决这个问题通过配置用户通过网络访问文件夹的共享权限,仅向 Everyone 身份授予更改和读取权限:
如果需要,您可以选择授予管理员组完全控制权限,只要目标用户不是该组的成员。
解释
NTFS 对象(例如文件或文件夹)的所有者始终能够读取和更改对象的权限。即使您拒绝对象所有者的所有 NTFS 权限,他们也可以绕过这些权限并将其设置为他们想要的任何权限。
但是,当通过网络共享访问时,NTFS 权限和共享权限被考虑在内,并且适用更严格的权限。因此,如果我们不向用户授予完全控制共享权限,他们就无法行使作为对象所有者的权利来更改该共享中对象的权限。因此,远程计算机的 NTFS 文件系统授予的任何权限都真正成为用户可以做什么的最终决定。