我在文件服务器上有一个非常奇怪的 NTFS 权限现象,我找不到我的错误,现在已经拉了几个小时了。我错过了什么?
我的目标是:
- 来自 Group-A 的用户应该能够将新文件/文件夹写入文件夹(“添加文件”)。他们还应该能够编辑那些新添加的文件。
- 晚上,新添加的文件应受到“保护”,以免被 Group-A 进一步编辑/删除。应该保留读取文件的权利和添加更多新文件的权利。
这是我所做的:
- 创建Group-A,添加用户
- 授予 Group-A (F) 对该文件夹的完全访问权限
- 创建一个脚本
- 删除文件夹中文件的继承位
- 删除 (F) 对文件的完全访问权限,保留只读权限
问题是,我的用户可以编辑和删除文件,就像他们拥有完全访问权限一样。即使“有效权限”显示无编辑权限,仍然可以。
该脚本工作正常,如下所示:
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
脚本运行后,file.jpg 上的 NTFS 权限如下所示(对我来说看起来是正确的):
icacls 输出也是如此:
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
该文件的有效权限选项卡显示完全相同(正确)的内容:
父文件夹的权限,用户应该可以在这里添加文件,如下所示:
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
如果此用户登录(他只是在两个组中,域用户和组 A),他可以编辑、删除、重命名和移动文件 bild1.jpg。这怎么可能?NTFS 对我的光荣计划做了什么?