我的目标是:
>来自Group-A的用户应该能够将新文件/ foldes写入文件夹(“添加文件”).他们还应该能够编辑这些新添加的文件.
>晚上,新添加的文件应受“保护”,以免被Group-A进一步编辑/删除.应保留读取文件的权限和添加更多新文件的权限.
这是我做的:
>创建Group-A,添加用户
>给Group-A(F)ull访问该文件夹
>创建一个脚本
>删除文件夹中文件的继承位
>删除(F)ull访问文件,leavinf只读权限
问题是,我的用户可以编辑和删除文件,就像他们有完全访问权限一样.即使“有效权限”显示没有编辑权,仍然可以.
该脚本工作正常,看起来像这样:
icacls d:\folder\Bild1.jpg /inheritance:d icacls d:\folder\Bild1.jpg /remove:g Group-A"
脚本运行后,file.jpg上的NTFS权限看起来像这样(看起来对我来说):
icacls输出也是如此:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
如果此用户登录(他只是两个组,Domain-Users和Group-A),他可以编辑,删除,重命名和移动文件bild1.jpg.这怎么可能? NTFS对我的光荣计划做了什么?
我会首先检查所有文件是否发生这种情况,或者只检查用户拥有的文件(更改所有者以查看它是否仍然存在),如Daniel所建议的那样.
然后我会尝试按照the other thread中的描述设置权限,但是使用Windows中的详细首选项窗格(右下角的Button Advanced)和“共享”选项卡(我不确定这是否是在Windows中完成的方式)服务器,在Solaris中以这种方式完成).基本思路是(引自第二个链接的线程):
The owner is always allowed to change ACLs on her objects. You can prevent this for shared content by using a share which is only allowing “Everyone:Modify” permissions as this will “filter out” any change ACL requests at the share level. If you want to allow your Administrators to change ACLs,just add “Storage Admins:Full Control” to the share permissions.
