在文件服务器上,基本文件夹包含用户的文件夹:
此基本文件夹受到保护,以防止用户的操作(删除,重命名,转储文件等),用户只能读取和遍历它:
为了保护每个用户的根文件夹,我明确拒绝他们删除自己文件夹的权利:
这意味着要deny
在每个文件夹上添加。
在基本文件夹上执行此操作不起作用:deny
将组Users
添加到delete
子文件夹,因为This foler only
--> 他们仍然可以删除自己的文件夹,因为继承的权限(拒绝删除)的优先级低于显式权限(允许修改)。
使用我的方法,用户仍然可以隐藏自己的根文件夹。这不是问题,但它表明文件夹没有 100% 受到保护。
- 我该使用“规范”方法吗?
- 如何防止用户隐藏自己的文件夹?或者其他烦人的事情
- 有什么建议么?
答案1
1. 我是否使用“规范”方法?
您使用最直接且最不容易出错的方法:允许项是常见的,而拒绝项只是一个复选标记。
2. 如何防止用户隐藏自己的文件夹?或者其他烦人的事情
用户可以隐藏自己的文件夹,这与他们也可以修改其他所需属性有关(但很少有人这样做)。我从未见过有人反对这一点,可能是因为这从未造成问题。
3.有什么建议吗?
许多管理员喜欢为每个“根文件夹”创建一个共享。这很方便,但由于共享是可见的,因此可能会泄露私人信息。
答案2
它似乎适用于“此文件夹”......
此文件夹一旦所有者返回给管理员(在我的环境中,到桌面上的 d 更快),就可以在下面查看、遍历、添加、修改,但不能被用户 QUADWORD 隐藏或删除。
文件夹明确拒绝删除,未授予任何权限则拒绝读取属性,所需的权限从此时开始设置。
从好的方面来说,他们可以从该点向下创建和删除数据,但也不能将其隐藏在那里:-)
编辑(更多细节):请允许我进一步阐述... 看来您希望父文件夹(用户文件夹)与其所有子文件夹的处理方式不同。因此,您必须指定“仅此文件夹”的设置,然后从该点向下获得更多控制。因此,您实际上需要明确说明您想要的“一个文件夹”的内容,然后明确说明您想要的“此文件夹的所有子对象”的内容,有所不同。并且您必须确保用户没有更改该权限的权限,或者通过代理被允许成为所有者或任何可以更改该权限的组的成员。”。在 NTFS 中,删除总是会覆盖拒绝,您可以通过创建两个相同的 ACL 来测试这一点,一个带有删除,另一个带有允许,无论您按什么顺序放置它们,它们都会首先枚举删除,然后忽略允许。该 ACL 是否被继承并不重要。它是从适用于该对象的所有 ACL 解析的访问级别。有一个例外,无论您设置什么,“所有者”都可以重新获得所有权并进行更改。否则,您可能会犯下无法修复的错误,作为所有者,您甚至可以将自己锁定在外,但您有权更改它(有时很有用);)
请记住“有效访问”标签是您的朋友!