我受雇于一所学校,负责在班级之间设置共享文件夹,因此该班级的每个人都可以访问老师共享的文件,但不能写入。然而,经过测试,发现了一个重大漏洞:
- 学生无法写入文件,但想制造恶作剧。
- 学生进入文件属性,编辑安全性并授予自己写权限。
- 学生可以写入文件,甚至拒绝老师访问。
配置文件夹时,学校希望每个人都有读取和写入权限,因为有些文件需要他们写入内容。但是,某些文件(规则和规定、公告等)只能由老师写入,但如上所述,有办法绕过这一点吗?
答案1
学生进入文件属性,编辑安全性并授予自己写权限。
这只能如果学生已经拥有“更改权限”权限。简单的答案就是首先不要授予它。
如果没有此权限,则只有对象的所有者才可以编辑其 ACL。由于学生没有创建该文件,因此他们不是其所有者,也无法绕过上述权限要求。
(学生能够绕过这个问题的另外两个原因都可以归结为“学生以某种方式拥有文件服务器的管理员权限”,如果是这样的话,那么这本身就是一个大问题。)
配置文件夹时,学校希望每个人都拥有读取和写入权限,因为有些文件需要他们写入内容。但是,某些文件(规则和规定、公告等)只能由老师写入
如果文件夹本身是可写的,那么您实际上无法撤消仅对几个单个文件的操作 - 即使您将文件设为只读,某些人也可以删除该文件(通过拥有该文件夹的“删除子对象”权限)并创建一个新文件。
因此,不要将整个内容设置为可公开写入。相反,应创建几个部分 - 只读公告可以放在根目录中,但学生上传的内容应有自己单独的子文件夹。
- “共享”——老师“修改”,学生“阅读”
- “共享\在此处提交作业” – 教师“修改”,学生“阅读、创建”
- “Shared\Memes” – 老师“修改”,学生“修改”
- 等等。