我运行的是 Server 2008r2,我一直在尝试将权限部署到我的网络共享文件夹,以便他们只能写入现有文件并保存新文档,其他所有操作都受到限制,包括创建新文件夹,我知道高级权限设置,并取消勾选相关设置,例如创建和附加以及删除选项。当用户尝试编辑和保存文档时,会出现只读错误。
我已经在这个问题上挣扎了太久,确保公司数据的安全至关重要
答案1
您遇到的问题可能是大多数程序的保存周期功能。它如下所示:
- 删除旧文件。
- 使用更新的数据创建新文件。
某些格式(Access 就是其中之一)实际上会使用新数据修改现有文件,并且这些文件可能完全符合您的权限要求。
但是,MS Office 格式(数据库格式除外)都采用“保存”的删除/创建方法。这意味着您必须包括包含 Office 文件的目录的删除权限。
如果你试图防御内部参与者的数据破坏攻击,这确实会带来严重问题。处理这个问题的传统方法是不是向不应拥有删除权限的组授予删除权限,但做将其作为“创建者所有者”权限集的一部分授予;这允许文件创建者删除它们,从而允许保存周期工作。
icacls M:\SecureDir /grant *S-1-3-0:(io)(d)
这将授予创建者所有者对 M:\SecureDir 下创建的对象的删除权限。