在Windows中,是否可以有一个目录,用户可以在其中修改目录内容,但特定文件夹/文件除外?
我有一个目录,让我们称之为主目录,并设置权限,以便用户可以修改它的内容。这是必要的,因此他们可以创建,修改和删除里面的文件夹/文件。但是,我确实有一些我不希望用户能够修改的文件夹和文件。
我已经给出了特定的文件夹/文件自己的权限(没有继承)并设置了它的权限,以便用户没有修改权限。但是,由于主目录的权限,他们仍然可以修改它(例如删除它)。
此外,我尝试在特定文件夹/文件上设置拒绝权限,以拒绝对这些用户的修改权限。但是,他们仍然可以修改它们。
建议将不胜感激。
更新
所以我在这里http://www.edugeek.net/forums/windows-server-2008-r2/107385-deny-delete-permission-not-working.html发现,解决方案是在主目录上设置“修改”权限应用于“此文件夹,子文件夹和文件”。然后在应用于“此文件夹”的主目录上设置新的deny-delete-permission。然后在主目录内,在用户不能修改/删除的特定文件夹/文件中,设置deny-delete-permission。然后它将起作用,因为用户可以创建,修改和删除主目录中的文件夹/文件,他们无法修改/删除主目录或内部的特定文件夹/文件。
不过,我们将不胜感激。
答案 0 :(得分:0)
你不清楚“修改”究竟是什么意思,但你确实举了一个例子,用户仍然可以删除你想要保护的文件或文件夹。
当用户具有DELETE_CHILD对父文件夹的访问权限时会发生这种情况,在Explorer GUI中描述为“删除子文件夹和文件”,或在命令行DC工具中描述为icacls 。如果您已为用户提供对文件夹的“完全控制”,则这包括DELETE_CHILD访问权限,该访问权限优先于子对象的权限。如果我没记错的话,这个访问权限也允许移动子对象。
如果要在GUI中分配父文件夹权限,请使用“修改”选项而不是“完全控制”选项。 (这可能是最明智的选择,因为它也会阻止用户更改文件夹权限。)
从命令行,您可以使用(M)而不是(F)执行相同的操作。
更好的是,仅向用户授予父目录上的“创建文件”和“创建文件夹”,以及仅应用于子对象的完整(或修改)权限集,如下所示:
icacls parentdirectory /grant MyUsers:(RX,WD,AD) /grant MyUsers:(OI)(CI)(IO)(M)