Windows-Berechtigungen in Ordner ändern - mit Ausnahme von bestimmten Ordnern/Dateien

Question

In Windows ist es möglich, ein Verzeichnis zu haben, in dem Benutzer den Inhalt des Verzeichnisses außer von bestimmten Ordnern/Dateien ändern können?

Ich habe ein Verzeichnis, nennen wir es Hauptverzeichnis, mit Berechtigungen festgelegt, so dass Benutzer den Inhalt davon ändern können. Dies ist notwendig, damit sie Ordner/Dateien erstellen, ändern und löschen können. Ich habe jedoch ein paar Ordner und Dateien, die die Benutzer nicht ändern dürfen.

Ich habe den spezifischen Ordnern/Dateien ihre eigenen Berechtigungen (keine Vererbung) gegeben und ihre Berechtigungen so festgelegt, dass die Benutzer keine Änderungsberechtigungen haben. Sie können sie jedoch aufgrund der Berechtigungen aus dem Hauptverzeichnis immer noch ändern (z. B. löschen).

Darüber hinaus habe ich versucht, verweigern-Berechtigungen für die spezifischen Ordner/Dateien zu verweigern ändern Berechtigungen für die Benutzer auf diesen. Aber trotzdem können sie sie modifizieren.

Vorschläge würden geschätzt.

 

UPDATE

So fand ich hier http://www.edugeek.net/forums/windows-server-2008-r2/107385-deny-delete-permission-not-working.html heraus, dass eine Lösung nur zu setzen wäre, Berechtigungen für das Hauptverzeichnis angelegt „Ändern“ „Dieser Ordner, Unterordner und Dateien“. Setzen Sie dann eine neue deny-delete-Berechtigung für das Hauptverzeichnis, das auf "Dieser Ordner" angewendet wurde. Dann legen Sie im Hauptverzeichnis für die spezifischen Ordner/Dateien, die die Benutzer nicht ändern/löschen dürfen, eine deny-delete-Berechtigung fest. Dann wird es funktionieren, da die Benutzer Ordner/Dateien im Hauptverzeichnis erstellen, ändern und löschen können und sie das Hauptverzeichnis oder die spezifischen Ordner/Dateien nicht ändern/löschen können.

Weitere Lösungen würden jedoch geschätzt werden.

Answer 1

Sie sind nicht sehr klar, was genau Sie mit "ändern" meinen, aber Sie haben ein Beispiel gegeben, die Tatsache, dass der Benutzer die Datei oder den Ordner löschen kann, die Sie schützen möchten.

Dies geschieht, wenn der Benutzer DELETE_CHILD Zugriff auf den übergeordneten Ordner hat, als „Unterordner und Dateien löschen“ im Explorer GUI oder als DC in der Befehlszeile icacls Werkzeug. Wenn Sie den Benutzern "Vollzugriff" auf den Ordner gegeben haben, enthält dies den Zugriff , der Vorrang vor den Berechtigungen für die untergeordneten Objekte hat. Wenn ich mich richtig erinnere, erlaubt dieses Zugriffsrecht auch das Verschieben der untergeordneten Objekte.

Wenn Sie die Berechtigungen für den übergeordneten Ordner in der GUI zuweisen, verwenden Sie die Option "Ändern" anstelle der Option "Vollzugriff". (Dies wäre wahrscheinlich die sinnvollste Option, da die Benutzer die Ordnerberechtigungen nicht ändern können.)

Von der Befehlszeile aus würden Sie dasselbe tun, indem Sie (M) statt (M) statt (F) verwenden.

Noch besser ist es, gewähren die Benutzer nur die „Dateien erstellen“ und „Ordner erstellen“ rechts auf das übergeordnete Verzeichnis, plus eine (oder modifizieren) Berechtigungssatz nur auf untergeordnete Objekte, um so etwas gelten:

icacls parentdirectory /grant MyUsers:(RX,WD,AD) /grant MyUsers:(OI)(CI)(IO)(M)