我们尝试过从管理员帐户编辑权限,但即使是所有类别都归类为“拒绝”的用户也能够编辑自己的安全权限。您如何解决这个问题/有没有更好的方法?
答案1
如果他们拥有文件/目录,我相信用户将有能力更改权限。我认为在 NTFS 中,您必须以管理员身份拥有所有权,用户不能是管理员或属于管理组,并且您必须拒绝除该用户特定权限之外的所有用户对文件和目录的访问,从而拒绝更改权限的能力。
不过,这可能会导致以后出现意想不到的行为。大多数系统都没有这么严格的限制,软件可以假设用户可以做什么和不能做什么,所以如果这种配置出现一些奇怪的行为,请不要感到惊讶。
答案2
这需要在实际文件夹内容之上的级别进行。在父文件夹中,删除用户的特殊权限更改权限和写入(扩展)属性。然后,也从创建者/所有者那里删除这些权限(新文件和文件夹将获得这些权限)。如果它们是继承的,则拒绝它们。
对于任意数量的用户来说这需要付出多少努力实际上取决于您如何设置安全基础设施。