Benutzern erlauben, Dateien zu erstellen, diese jedoch nicht zu bearbeiten und zu löschen

2

Ist es möglich, Benutzern das Erstellen neuer Dateien in einem Ordner zu erlauben, diese jedoch nicht zu ändern?

Ich versuche, solche Berechtigungen festzulegen, aber das Problem ist, dass Benutzer beim Deaktivieren von write attributesund write extended attributeskeine Dateien erstellen können.

Bildbeschreibung hier eingeben

Benutzer können in diesem Ordner keine Dateien erstellen, sie können sie jedoch ändern. Ich will das Gegenteil.

Milano
quelle

Antworten:

3

Öffnen Sie das Fenster Erweiterte Sicherheitseinstellungen, deaktivieren Sie die Vererbung und löschen Sie alle Einträge. Fügen Sie diese hinzu:

  • Erlaube Administratoren "Vollzugriff" auf "Dieser Ordner, Unterordner und Dateien"
  • Erlaube SYSTEM "Vollzugriff" auf "Dieser Ordner, Unterordner und Dateien"
  • Authentifizierten Benutzern die Grundberechtigungen "Lesen & Ausführen", "Ordnerinhalt auflisten", "Lesen" und "Schreiben" für "Nur diesen Ordner" gewähren
  • Erlaube CREATOR OWNER "Vollzugriff" auf "Nur Unterordner und Dateien"
  • Authentifizierten Benutzern die Grundberechtigungen "Lesen & Ausführen", "Ordnerinhalt auflisten" und "Lesen" für "Diesen Ordner, Unterordner und Dateien" erlauben

Die Magie geschieht im vierten Punkt, in dem wir Berechtigungen für CREATOR OWNER hinzufügen. Wenn dieser Eintrag von neuen Dateien geerbt wird, wird er in einen Eintrag geändert, der für den Ersteller gilt. Sie können den letzten Aufzählungspunkt überspringen, wenn Sie nicht möchten, dass alle Benutzer alle Dateien lesen können.

erweiterte Sicherheitseinstellungen

Um zu überprüfen, ob die ACLs korrekt eingegeben wurden, wird icaclsim folgenden Ordner Folgendes ausgegeben :

BUILTIN\Administrators:(OI)(CI)(F)
NT AUTHORITY\SYSTEM:(OI)(CI)(F)
NT AUTHORITY\Authenticated Users:(RX,W)
CREATOR OWNER:(OI)(CI)(IO)(F)
NT AUTHORITY\Authenticated Users:(OI)(CI)(RX)
Ben N
quelle
Ermöglicht dies dem Benutzer, der eine Datei erstellt, nicht, diese später zu ändern?
Bendodge
@ Bendodge Ja; Wenn dies nicht das gewünschte Verhalten ist, können Sie den Eintrag für entfernen CREATOR OWNER.
Ben N