Quyền NTFS - Tạo tệp và thư mục nhưng ngăn xóa và sửa đổi

Mục tiêu: Một thư mục dùng chung mà người dùng có thể tạo tệp nhưng không sửa đổi hoặc xóa chúng. Người dùng cũng có thể tạo các thư mục con.

Tôi đã cấp cho nhóm bảo mật của mình các quyền NTFS tiên tiến sau:

• Thư mục Traverse / Thực thi tập tin
• Danh sách thư mục / đọc dữ liệu
• Đọc thuộc tính
• Đọc thuộc tính mở rộng
• Tạo tập tin / ghi dữ liệu
• Đọc quyền

Thông qua quá trình dùng thử và lỗi, tôi đã thấy rằng bằng cách KHÔNG cấp 'Ghi thuộc tính', điều này có tác dụng ngăn người dùng sửa đổi / xóa các tệp hiện có (đó là điều tôi muốn). Tuy nhiên, tôi thực sự muốn một lời giải thích về chính xác lý do tại sao điều này hoạt động. Lý thuyết duy nhất tôi có là việc xóa / sửa đổi một tập tin thay đổi các thuộc tính của tập tin? Đây là một cuộc thảo luận cùng dòng .

EDIT - Phần thứ hai trong câu hỏi của tôi là không liên quan, tôi nghĩ rằng tôi chỉ chọn 'Tạo tệp / ghi dữ liệu' nhưng tôi cũng đã chọn 'Tạo thư mục / chắp thêm dữ liệu'.

Hơn nữa, tôi muốn người dùng có thể tạo các thư mục con trong thư mục gốc và tôi đã thấy rằng bằng cách cấp 'Tạo tệp / ghi dữ liệu', điều này cho phép điều đó. Nhưng một lần nữa, tên cho thấy quyền này chỉ cho phép tạo tệp chứ không phải thư mục, vì vậy tôi không hiểu tại sao nó hoạt động? Bản khai báo của Microsoft thuộc tính 'Tạo tệp / ghi dữ liệu' là "Đối với các thư mục, chỉ định xem người dùng có thể tạo tệp trong thư mục hay không. Đối với tệp, chỉ định liệu người dùng có thể thay đổi tệp hoặc ghi đè dữ liệu hay không." Không có đề cập đến khả năng tạo các thư mục con trong một thư mục?

Về cơ bản, tôi đã đạt được những gì tôi đặt ra nhưng không hiểu tại sao nó hoạt động?

Thông qua quá trình dùng thử và lỗi, tôi đã thấy rằng bằng cách KHÔNG cấp 'Ghi thuộc tính', điều này có tác dụng ngăn người dùng sửa đổi / xóa các tệp hiện có (đó là điều tôi muốn). Tuy nhiên, tôi thực sự muốn một lời giải thích về chính xác lý do tại sao điều này hoạt động.

Đây là một chức năng chính xác làm thế nào sửa đổi tập tin xảy ra. Khi bạn sửa đổi một tệp, hệ điều hành không thực sự sửa đổi tệp bạn đang chỉnh sửa. Nó thay thế tệp bạn đang chỉnh sửa bằng bản sao bạn đã thay đổi. Vì vậy, về cơ bản, sửa đổi tệp sẽ lấy một bản sao của tệp gốc, tải nó vào bộ nhớ (nơi bạn sửa đổi nó), xóa tệp gốc và tạo một tệp mới có cùng tên ở cùng một nơi. Đây là lý do tại sao Deletequyền NTFS được yêu cầu để sửa đổi tệp - trên thực tế, nếu bạn kiểm tra Advanced permissionstrên đối tượng NTFS, không có Modifyquyền - một sửa đổi thực sự chỉ là xóa và ghi.

Vì vậy, để tạo bản sao mới của tệp đó, nó phải ghi các thuộc tính tệp của tệp mới này ... và tất nhiên, các thuộc tính ghi yêu cầu phải có Write attributesquyền NTFS. Vì vậy, đó là lý do tại sao bạn không thể sửa đổi tệp mà không có Write attributesquyền NTFS.

Cụ thể, nhờ trò chuyện với Fitzroy , thuộc tính tệp NTFS cần được ghi trong ngữ cảnh bảo mật của người dùng (không thể, nếu không có sự Write Attributescho phép), khi sửa đổi tệp, nhưng không phải khi tạo tệp hoàn toàn mới, sẽ là tập tin của LastModificationTime. Đây là một phần của Standard Informationthuộc tính, theo một trong những nhà phát triển Microsoft Core Team .

Đó là sự thật: không có quyền 'Ghi thuộc tính' dẫn đến việc người dùng không thể sửa đổi các tệp của nó. Và theo tài liệu của Microsoft, nó không có ý nghĩa. Nhưng sửa đổi một tập tin không có nghĩa là xóa và giải trí của nó. Khi một ứng dụng mở tệp để sửa đổi, hệ điều hành sẽ không xóa tệp. Nhưng, những gì HĐH làm là khóa tệp để ngăn sửa đổi đồng thời. Tôi đoán là việc khóa tệp nằm trong khái niệm 'thay đổi thuộc tính tệp'. Do đó, việc không thể thay đổi thuộc tính dẫn đến việc không thể sửa đổi tệp.

Đối với phần thứ hai của câu hỏi của bạn, tôi không thể tái tạo điều đó. Có hai quyền khác nhau áp dụng cho một thư mục: 'Tạo tệp / ...' và 'Tạo thư mục / ...' và chúng hoạt động theo tài liệu trong các thử nghiệm của tôi.