Как запретить пользователям удалять папку, одновременно давая им возможность изменять разрешения на ее содержимое?

Как отметил Грэм, использование multiple permissions entries для одного и того же пользователя (то, что я никогда не пробовал раньше) было ключом здесь:

Разрешения в родительской папке дают пользователям almost абсолютную свободу вносить любые изменения… за исключением того, что поле “удалить” снято - таким образом, пользователи не могут случайно удалить/переместить/переименовать эту важную папку:

Переходя ко второму набору прав для того же самого пользователя (которые применяются не к самой папке, а к ее содержимому), мы видим точно такие же права, как и у пользователя, включая привилегии “удалить”.

Итак, пользователи могут делать все, что угодно с вложенными папками и файлами, including deleting/moving/renaming them.

Эта конфигурация позволяет мне защищать ключевые папки, такие как персонализированные целевые каталоги сканирования, которые находятся в личных сетевых папках пользователей. Пользователи могут изменить контент (например, удалить PDF-файлы сканирования, которые они больше не хотят хранить), но не могут непреднамеренно вызвать проблемы, удалив папку, которую сканер ожидает увидеть при сохранении в сети.

мне пришлось отключить наследование для специальной папки, так как в противном случае невозможно было внести изменения в разрешения пользователя, которые отличались от корневого ресурса сети; однако, все subпапки и объекты do используют наследование для получения разрешений из родительской папки.

Как только я точно понял, что нужно сделать, это заняло всего пару минут, чтобы внести изменения для каждого пользователя. Теперь я могу спокойно сказать, что ключевые сетевые папки не могут быть случайно удалены пользователями.

Папка должна иметь права на чтение, удалять вложенные папки и файлы, создавать папки / применять данные, создавать файлы / записывать данные, читать атрибуты, список папок / читать данные, переходить в другую папку / выполнять файл и все. Содержимое должно быть полностью под контролем. Эта комбинация должна (при условии правильного владения файлами и правильного создания и администрирования пользователей) позволять вашим пользователям иметь доступ через папку к ее содержимому, не имея возможности удалять или изменять саму папку.

Возможность удалить что-либо из папки обычно зависит от разрешений, назначенных родителем, а не от самой папки (т.е. Вы не можете сказать: “Не удаляйте меня”). Это означает, что вам необходимо контролировать разрешение на удаление самой папки в разрешениях, назначенных родителем папки.

Например:

A |-B | + a.html | + b.html | + c.html +-C + a.doc + b.doc

Возможность удаления “a.html” контролируется буквой “B” (или унаследованной от буквы “A”). Поэтому, если вы хотите перестать иметь возможность удалять “B”, то вы должны правильно установить права доступа на “A”. Это становится довольно раздражающим, когда вы хотите иметь возможность удалять “C”, но не “B”. Иногда назначение прав собственности на папку (но не на ее содержимое) отдельному пользователю проще и очевиднее.

Если ответ Austin Power не работает на вас, вот две другие опции

Вариант 1

Просто создайте вложенную папку с одним пустым текстовым файлом и заблокируйте доступ к ним для пользователей, которых вы хотите защитить.

Как это работает? : Так как пользователи не могут удалить файл из вложенной папки, они также не могут удалить вложенную папку и родительскую папку.

Внимание! : Если вы попытаетесь удалить родительскую папку, у вас действительно не получится но только после того, как все внутри будет удалено (за исключением, конечно, специальной папки/файла).

Вариант 2

Выполните эту процедуру Предотвращение удаления папки или случайного перетаскивания с NTFS-безопасностью .