我在 Active Directory 中创建了一个组,我想阻止该组中的所有用户删除服务器上的任何文件。我该怎么做?
答案1
虽然这不是一个特别好的方法,但如果这样做,您需要担心Delete和Delete subfolders and files权限。(如果使用 GUI,则在选项卡Advanced中提供选项。)Security
可能最简单的方法是将Deny卷根上的权限授予相关组。确保您还阻止相关组拥有Change permissions或Take ownership权限,否则他们将能够将这些权限授予自己。(还要确保一直应用权限 - Apply to: This folder, subfolder and files- 并捕获无法应用权限的文件和目录。)
当然,正如评论中提到的,拒绝 ACE 可能会导致一些问题,因此这可能不是您要完成的任何任务的最佳方法。您不能信任不会删除内容的人首先就不应该在服务器上。我可能只会授予他们对所需目录树的只读权限,而不是花费额外的精力允许对服务器的完全访问权限,然后自定义高级权限选项。
