Eu tenho um fenômeno de direitos NTFS muito estranho em um servidor de arquivos e não consigo encontrar meu erro, puxando meu cabelo por horas agora. o que estou perdendo?
Minha meta é:
- O usuário do Grupo-A deve ser capaz de gravar novos arquivos/pastas em uma pasta ("adicionar arquivos"). Eles também devem ser capazes de editar os arquivos recém-adicionados.
- À noite, os arquivos recém-adicionados devem ser "protegidos" de futuras edições/exclusões pelo Grupo-A. O direito de ler os arquivos e o direito de adicionar mais novos arquivos devem permanecer.
Aqui está o que eu fiz:
- Criar Grupo-A, adicionar usuários
- Conceda ao Grupo A (F) acesso total à pasta
- Crie um script que
- exclui o bit de herança dos arquivos na pasta
- remove o acesso (total) aos arquivos, deixando direitos somente leitura
O problema é que meus usuários podem editar e excluir arquivos como se tivessem acesso total. Mesmo que as 'permissões efetivas' não mostrem o direito de editar, ainda podem.
O script funciona bem e fica assim:
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
Após a execução do script, a permissão NTFS em file.jpg fica assim (parece correta para mim):
O mesmo acontece com a saída do icacls:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
A guia de permissões efetivas desse arquivo mostra exatamente a mesma coisa (certa):
As permissões para a pasta pai, os usuários devem poder adicionar arquivos aqui, são assim:
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
Se este usuário logar (ele está apenas em dois grupos, Domain-Users e Group-A), ele pode editar, deletar, renomear e mover o arquivo bild1.jpg. Como isso é possível? O que o NTFS faz com meus planos gloriosos?