Tôi đang cố gắng ngăn người dùng vô tình xóa một số thư mục nhất định (chẳng hạn như thư mục đích quét cá nhân của họ - được lưu trong ổ đĩa nhà của họ), trong khi vẫn cho họ quyền đọc + ghi vào nội dung của các thư mục đặc biệt này.
Thử nghiệm của tôi với các kết hợp quyền NTFS khác nhau đã không thành công, vì tôi thấy rằng người dùng không thể truy cập nội dung ... hoặc có thể xóa thư mục mẹ.
Tôi có thể làm cái này như thế nào?
Câu trả lời:
Như Graham đã chỉ ra, sử dụng nhiều mục nhập quyền cho cùng một người dùng (điều mà tôi chưa từng thử trước đây) là chìa khóa ở đây:
Các quyền trên thư mục mẹ cung cấp cho người dùng sự tự do gần như tuyệt đối để thực hiện bất kỳ thay đổi nào ... ngoại trừ việc hộp "xóa" không được chọn - vì vậy người dùng không thể xóa / di chuyển / đổi tên thư mục quan trọng này một cách tình cờ:
Chuyển sang quyền thứ hai được đặt cho cùng một người dùng (không áp dụng cho chính thư mục mà cho nội dung của nó), chúng tôi thấy các quyền chính xác được cấp cho người dùng, bao gồm các đặc quyền "xóa".
Vì vậy, người dùng có thể làm bất cứ điều gì họ muốn đối với các thư mục con và tệp, bao gồm xóa / di chuyển / đổi tên chúng.
Cấu hình này cho phép tôi bảo vệ các thư mục chính, chẳng hạn như các thư mục quét mục tiêu được cá nhân hóa nằm trong các vị trí mạng cá nhân của người dùng. Người dùng có thể sửa đổi nội dung (chẳng hạn như xóa các tệp PDF mà họ không còn muốn giữ), nhưng không thể vô tình gây ra sự cố cho chính mình bằng cách xóa một thư mục mà máy quét dự kiến sẽ thấy khi lưu vào mạng.
Tôi đã phải vô hiệu hóa tính kế thừa cho thư mục đặc biệt vì nếu không thì không thể thực hiện thay đổi đối với các quyền của người dùng đã thay đổi từ thư mục gốc của chia sẻ mạng; tuy nhiên, tất cả các thư mục con và đối tượng đều sử dụng tính kế thừa để có được các quyền từ thư mục mẹ của chúng.
Khi tôi đã tìm ra chính xác những gì cần phải làm, việc này chỉ mất vài phút để điều chỉnh cho mỗi người dùng. Bây giờ tôi yên tâm rằng các thư mục mạng chính không thể bị xóa bởi người dùng.
Thư mục cần có quyền đọc, xóa các thư mục con và tệp, tạo thư mục / chắp thêm dữ liệu, tạo tệp / ghi dữ liệu, đọc thuộc tính, danh sách thư mục / đọc dữ liệu, thư mục duyệt / thực thi tệp và đó là nó. Các nội dung nên được kiểm soát đầy đủ. Sự kết hợp này sẽ (giả sử quyền sở hữu chính xác các tệp và tạo và quản trị người dùng chính xác) cho phép người dùng của bạn có quyền truy cập thông qua thư mục vào nội dung của nó, mà không thể xóa hoặc sửa đổi thư mục.
Khả năng xóa một cái gì đó từ một thư mục thường phụ thuộc vào các quyền được chỉ định bởi cha mẹ chứ không phải chính thư mục đó (tức là bạn không thể nói: "Đừng xóa tôi"). Vì vậy, điều này có nghĩa là bạn cần kiểm soát quyền xóa của chính thư mục đó trong quyền của cha mẹ của thư mục.
Ví dụ:
Một | -B | + a.html | + b.html | + c.html + -C + a.doc + b.docKhả năng xóa "a.html" được kiểm soát bởi "B" (hoặc được kế thừa từ "A"). Vì vậy, nếu bạn muốn dừng việc có thể xóa "B" thì bạn cần đặt quyền cho đúng trên "A". Điều này trở nên khá khó chịu khi bạn muốn có thể xóa "C" chứ không phải "B". Đôi khi, việc chỉ định quyền sở hữu một thư mục (nhưng không phải nội dung của nó) cho một người dùng riêng biệt lại dễ dàng và rõ ràng hơn.
Nếu câu trả lời của Austin Power không hiệu quả với bạn thì đây là hai lựa chọn khác
Chỉ cần tạo một thư mục con với một tệp văn bản trống và lấy đi quyền truy cập của chúng từ những người dùng bạn muốn bảo vệ.
Làm thế nào nó hoạt động? : Vì người dùng không thể xóa tệp trong thư mục con nên họ cũng không thể xóa thư mục con và thư mục mẹ.
Chú ý! : Nếu bạn cố xóa thư mục mẹ, bạn thực sự sẽ thất bại nhưng chỉ sau khi mọi thứ bên trong đã bị xóa (tất nhiên ngoại trừ thư mục / tệp đặc biệt).
Thực hiện theo quy trình này Ngăn chặn xóa thư mục hoặc vô tình Kéo và thả với bảo mật NTFS