这个问题可能有点类似于这问题,但实际计划有所不同。
我的目标是创建一个“临时”共享,人们可以在其中卸载他们的数据(例如,当他们准备重新安装操作系统或需要与其他员工快速共享某些内容时)。
现在,虽然“temp”文件夹按定义是“临时的”,不应长期用于存储内容,但我仍然希望保持一定的安全性。为此,我想授予我的用户 (My.Domain\Domain Users) 写入权限(创建文件夹/文件),然后仅修改/删除他们自己创建的文件/文件夹的访问权限。
我怀疑我需要使用“CREATOR OWNER”特殊主体。但是,我觉得要限制修改/删除功能,我需要明确向 NTFS 安全选项卡添加拒绝权限,并且据我所知,拒绝规则优先于允许规则,因此即使授予了 CREATOR OWNER 完全权限,也无法真正进行更改。
我所尝试实现的目标有可能实现吗?
答案1
误解如下:
如果“共享”权限允许写入,那么用户仍然可以删除,即使 NTFS 设置中未明确允许该权限。
共享权限永远不会赋予您覆盖 NTFS 权限的能力。为了执行给定的操作,您必须在共享和 NTFS 上都具有执行该操作的权限。您可能看到的是“删除子文件夹和文件”权限的效果,如链接问题的答案中所述:如果您拥有任何一个文件的“删除”权限或者包含文件的文件夹上的“删除子文件夹和文件”权限。(删除文件夹时的行为稍微复杂一些,但基本操作是相同的。)
解决此问题的最简单方法是给予用户对父文件夹的“修改”权限,而不是“完全控制”权限。
因此,您希望共享文件夹的 NTFS 权限如下所示:
- 域用户 - 修改,仅限此文件夹
- 创建者所有者-完全控制所有子文件夹和文件
- 域用户 - 读取/执行,所有子文件夹和文件(假设您希望用户默认能够读取其他用户的文件)
- 管理员-完全控制,所有子文件夹和文件(以便您可以在必要时删除内容,例如,属于已离开的用户的文件)