我是学校的 IT 技术员。我们使用 DC 和文件服务器,因此教师使用自己的名字作为域用户。文件服务器中有一些文件夹共享给教师使用,问题是如何让教师帐户可以读取/编辑共享文件夹中的文件,但不允许他们删除其中的任何文件?
有时,如果工作人员或教师使用他们的域帐户登录,则配置文件将不会加载或共享文件夹将不会连接/显示在“我的电脑”中。有时老师联系我并说他无法进入共享文件夹,计算机会向他显示有关“组策略客户端”的错误消息。
提前致谢!!!
服务器:Windows Server 2008 Standard 工作站:Windows XP 和 7
答案1
有了 NTFS 权限,这完全可行,但远非标准配置。我们必须做类似的事情,创建下拉框:学生可以复制文件但无法删除的目录,或查看任何其他目录。通过一些自定义工作即可实现。
关键在于理解如何在文件和目录上设置时会表现出不同的权限。
要获得所需内容,请创建/修改但不删除给定目录中的文件:
- 在目录上:
- “创建文件”权限(icacls:WD)授予创建文件的能力。
- “列出文件夹”权限(icacls:RD)授予列出文件的能力。
- 在目录中的文件上(在目录中设置,但继承)
- “读取数据”权限(icacls:RD)授予读取文件的能力。
- “写入数据”权限(icacls:WD)授予编辑文件的能力。
- “附加数据”权限(icacls:Ad)授予修改文件的能力(对于 Access 数据库等实际修改文件的内容,而不仅仅是删除/重新创建)
icacls 对此的调用看起来像这样:
icacls M:\FacStaff\Physics\ /grant PhysFac:(OI)(CI)(WD)(RD)
icacls M:\FacStaff\Physics\ /grant PhysFac:(IO)(AD)
只剩一步了。默认情况下,创建者/所有者拥有的权利比你想要的多得多。所以你也必须修改这一点:
icacls M:\FacStaff\Physics\ /grant *S-1-3-0:(oi)(ci)(rd)(wd)
这会使创建者/所有者受到适当的限制。
不过我必须提醒大家。大多数 Office 文件格式在点击“保存”时都会执行删除-创建新文件的过程。用户无法删除的目录对于一般的办公工作来说没什么用。