Eu tenho um fenômeno de direitos NTFS muito estranho em um servidor de arquivos e não consigo encontrar meu erro, puxando meu cabelo por horas agora. o que estou perdendo?
Minha meta é:
- O usuário do Grupo-A deve ser capaz de gravar novos arquivos/pastas em uma pasta ("adicionar arquivos"). Eles também devem ser capazes de editar os arquivos recém-adicionados.
- À noite, os arquivos recém-adicionados devem ser "protegidos" de futuras edições/exclusões pelo Grupo-A. O direito de ler os arquivos e o direito de adicionar mais novos arquivos devem permanecer.
Aqui está o que eu fiz:
- Criar Grupo-A, adicionar usuários
- Conceda ao Grupo A (F) acesso total à pasta
- Crie um script que
- exclui o bit de herança dos arquivos na pasta
- remove o acesso (total) aos arquivos, deixando direitos somente leitura
O problema é que meus usuários podem editar e excluir arquivos como se tivessem acesso total. Mesmo que as 'permissões efetivas' não mostrem o direito de editar, ainda podem.
O script funciona bem e fica assim:
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
Após a execução do script, a permissão NTFS em file.jpg fica assim (parece correta para mim):
O mesmo acontece com a saída do icacls:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
A guia de permissões efetivas desse arquivo mostra exatamente a mesma coisa (certa):
As permissões para a pasta pai, os usuários devem poder adicionar arquivos aqui, são assim:
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
Se este usuário logar (ele está apenas em dois grupos, Domain-Users e Group-A), ele pode editar, deletar, renomear e mover o arquivo bild1.jpg. Como isso é possível? O que o NTFS faz com meus planos gloriosos?
Eu tive problemas semelhantes há dois meses, este tópico pode ser útil para você.
Eu verificaria primeiro se isso acontece com todos os arquivos ou apenas com os arquivos de propriedade do usuário (altere o proprietário para ver se ainda persiste), conforme sugerido por Daniel.
Eu tentaria definir as permissões conforme descrito no outro tópico , mas usando o painel de preferências detalhado no Windows (botão Avançado no canto inferior direito) e a guia Compartilhamento (não sei ao certo se é assim que é feito no Windows Server, no Solaris é feito desta forma). A ideia básica é (citação do segundo tópico vinculado):