Разрешения расширенной безопасности для общего диска

Question

Разрешения расширенной безопасности для общего диска

У меня есть большой общий диск с папками, которые автоматически создаются при добавлении клиента в используемое нами программное обеспечение. Я хочу разрешить пользователям получать доступ к папкам на верхнем уровне диска, но не писать, редактировать, удалять или перемещать любые из них (только для чтения). Я также хочу, чтобы они имели доступ к папкам под верхними папками на диске с полными привилегиями чтения / записи.

Например:

 Drive X: (shared drive)
 |
 +-- 1. Top Folder 1 (read only)
 |      |
 |      +-- lower folder/files (read/write)  
 |      |
 |      +-- lower folder/files (read/write)  
 |
 |
 +-- 2. Top Folder 2 (read only)
 |      |
 |      +-- lower folder/files (read/write)  
 |      |
 |      +-- lover folder/files (read/write)

Как мне этого добиться?

2

windows file-permissions file-sharing shared-folders

Источник

NeilR 12 ноя '14 в 21:51

1 ответ

Другие вопросы по тегам windows file-permissions file-sharing shared-folders

Twisty Impersonator 13 ноя '14 в 01:12 2014-11-13 01:12 · Answer 1 · 2014-11-13 01:12

Вы можете достичь своей цели с помощью того, что я называю Разрешения для папок верхнего уровня.

Резюме

В корне диска предоставьте пользователям разрешения на чтение, которые распространяются на все подпапки и файлы на диске.
На каждую папку "Верхний уровень" на корневом диске примените специальные разрешения, которые предоставляют пользователям права " Изменить" для содержимого папок (всех файлов и подпапок), но не для самих папок верхнего уровня.

Шаги для реализации

На Root-диске, грант Everyone (или другая группа по вашему выбору) стандартные разрешения на чтение
По желанию, на корневом диске, рассмотрите возможность обеспечения SYSTEM а также Administrators Полный доступ, затем удалите все остальные разрешения (например, те, которые предоставлены CREATOR OWNER или же Users)
В каждой папке верхнего уровня:
- Даруй Everyone Группа Изменить разрешения, затем отредактируйте это назначение разрешений в разделе "Дополнительные параметры безопасности", чтобы применить его только к подпапкам и файлам.
- Еще в Advanced Security Settings сделайте еще одну запись, предоставив Everyone сгруппируйте следующие конкретные разрешения и примените их только к этой папке:
  - Создание файлов / запись данных
  - Создать папки / добавить данные
Повторите шаг № 3 для каждой папки верхнего уровня

Как это устроено

Эффект #1 - предоставить вашей группе безопасности возможность читать все на диске.

Эффект #3 заключается в предоставлении вашей группе безопасности возможности изменять все дочерние объекты ваших папок верхнего уровня без предоставления им разрешения изменять сами папки верхнего уровня. Этого недостаточно для того, чтобы они могли что-либо создавать в папках верхнего уровня, следовательно, необходимы дополнительные явные разрешения на создание.

Применить ко многим папкам верхнего уровня

Разрешения шага № 3 выше должны быть применены к каждой папке "верхнего уровня". Это может занять много времени, если у вас много папок. Эти разрешения могут быть применены ко всем подпапкам в корне диска с помощью FOR и ICACLS, запущенных в командной строке с повышенными правами:

For /D %f In (C:\*.*) Do ICACLS "%f" /grant "Everyone":(OI)(CI)(IO)(M)
For /D %f In (C:\*.*) Do ICACLS "%f" /grant "Everyone":(WD,AD)

Как показано, эти две команды изменят все подпапки в C:\ предоставить разрешения, изложенные в шаге № 3 для Everyone группа. Измените эти два элемента в соответствии с вашими потребностями. Сначала проверьте перед запуском в производственной системе!