Em um servidor de arquivos, uma pasta base contém as pastas do usuário:
Esta pasta base está protegida contra as ações do usuário (exclusão, renomeação, dump de arquivos, etc), os usuários só podem lê-la e percorrê-la:
Para proteger a pasta raiz de cada usuário, nego explicitamente o direito de excluir sua própria pasta:
Isso implica adicionar um denyem cada pasta.
Fazer isso na pasta base não funciona: denypara o grupo Usersde deletesubpastas, para This foler only--> eles ainda podem excluir sua própria pasta, porque as permissões herdadas (negar para excluir) têm menos precedência do que as permissões explícitas (permitir modificar).
Com meu método, os usuários ainda podem ocultar sua própria pasta raiz. Isso não é um problema, mas mostra que a pasta não está 100% protegida contra ações.
- eu uso o método "canônico"?
- como evitar que os usuários ocultem sua própria pasta? Ou qualquer outra coisa irritante
- alguma sugestão?
Parece ser a "Esta pasta" no se aplica a ....
A nega...
Os Especiais.
Esta pasta, uma vez que o proprietário é devolvido ao administrador (Apenas mais rápido no meu ambiente para d na minha área de trabalho), pode ser vista, percorrida, adicionada, modificada abaixo, mas não pode ser ocultada ou excluída pelo usuário QUADWORD.
É negada a exclusão na pasta explícita, os atributos de leitura negados por não serem concedidos e as permissões desejadas são definidas a partir desse ponto.
No lado positivo, eles podem criar e excluir dados a partir desse ponto, mas também não podem escondê-los :-)
Editar (mais detalhes): Permita-me elaborar mais... Parece que você gostaria que a pasta pai (as pastas dos usuários) fosse tratada de forma diferente de todas as suas subpastas. Portanto, você precisa especificar as configurações para "somente esta pasta" e, em seguida, ter mais formulário de controle que aponte para baixo. Portanto, você efetivamente precisa ser explícito sobre o que deseja para essa "uma pasta" e, em seguida, ser explícito sobre o que deseja para "todos os objetos filho desta pasta", sendo diferente. E você precisa ter certeza de que o usuário não tem permissão para alterar isso, ou é permitido por proxy por ser proprietário ou membro de qualquer grupo que possa.". No NTFS, uma exclusão sempre substitui uma negação, você pode testar isso por fazer duas ACLs idênticas uma com delete a outra com permitir, e não importa em que ordem você as coloque, elas enumerarão as exclusões primeiro, e ignore permite depois. Se essa ACL é herdada ou não, não é relevante. É um nível de acesso resolvido de todas as ACLs que se aplicam a esse objeto. Com uma exceção, não importa o que você definir, o "Proprietário" pode retomar a propriedade e alterar. Caso contrário, você pode criar erros que não pode corrigir, como proprietário, você pode se bloquear cosmeticamente, mas teria o poder de mudar isso (útil às vezes) ;)
E lembre-se A aba "acesso efetivo" é sua amiga!
1. uso o método "canônico"?
Você usa o método mais direto e menos propenso a erros: o item de permissão é usual e o item de negação é apenas uma marca de seleção.
2. como evitar que os usuários ocultem sua própria pasta? Ou qualquer outra coisa irritante
O fato de os usuários poderem ocultar sua própria pasta está relacionado ao fato de que eles também podem modificar outros atributos desejáveis (mas muito poucos o fazem). Eu nunca vi ninguém lutando contra isso, provavelmente porque isso nunca causa problemas.
3. alguma sugestão?
Muitos administradores preferem criar um compartilhamento para cada "pasta raiz". Isso pode ser útil, mas pode revelar informações privadas porque os compartilhamentos são visíveis.