none
Permessi modifica ma non eliminazione file Windows server 2012 r2 RRS feed

  • Domanda

  • Ciao a tutti, sono nuovo del forum e sono alle prese da giorni con le articolate permission di Windows server 2012 R2.

    Ho una cartella condivisa  (Lavoro) con autorizzazioni everyone in full control.

    Ho la necessità di evitare che un gruppo (lavoro-limitato) possa eliminare con dolo o per errore i file e le cartelle in essa contenute. Devono però poter modificare i file esistenti ed eventualmente crearne dei nuovi.

    Sono quindi andato in sicurezza - avanzate e ho impostato il consenti sul gruppo "lavoro-limitato" per tutte le autorizzazioni ad eccezione del controllo completo, diventa proprietario, cambia autorizzazioni e elimina file e cartelle.

    Ho notato che abilitando il modifica abilita in automatico anche l'elimina (credo che sia dovuto al fatto che la modifica necessiti la creazione e la successiva eliminazione del file temporaneo).

    Furbamente ho pensato di ovviare a questo con un bel nega dell'opzione elimina; risultato non modifica i file

    Ho cercato molto ma nessuna soluzione.

    Suggerimenti???


    lunedì 4 aprile 2016 21:07

Risposte

  • Facendo diversi test ti posso dire che se non metti l'elimina (nelle impostazioni avanzate) non ti fa nemmeno modificare il file. Lo apri lo modifichi ma al momento di salvarlo segnala accesso negato e crea un file TMP.

    Se ci pensi ha senso: quando apri il file genera un file temporaneo nascosto che al momento del salvataggio e chiusura va eliminato. Non avendo il permesso di elimina non puoi eliminare nemmeno il tmp e va in errore.

    Questo è vero per alcuni programmi, ma non è una regola, dipende da come gli applicativi sono stati progettati...

    Normalmente, programmando, se si apre un file in scrittura/modifica il permesso di cancellazione non serve.

    Se togli il "delete" e provi il seguente comando di accodamento dir *>>fileditest.txt vedrai che funziona, notepad e word NO,  con i file di office avrai un effetto collaterale tanti file tmp per quante volte hai aperto e chiuso (come hai riscontrato) il file stesso

    Per i file word il delete è necessario come specificato da MS Windows NTFS permissions are required when you run Word on any NTFS partition that has Windows...

    Una soluzione non c'è, bisogna pensare qualcosa di alternativo, backup incrementali frequenti, shadow copy ravvicinate, robocopy con opzione mon ...

    ecco i permessi che ho usato che equivalgono al modifica di MS senza il delete: (OI)(CI)(RX,W)

    C:\Temp\TEST DOM\usr:(OI)(CI)(accesso speciale:)
                                             READ_CONTROL
                                             SYNCHRONIZE
                                             FILE_GENERIC_READ
                                             FILE_GENERIC_WRITE
                                             FILE_GENERIC_EXECUTE
                                             FILE_READ_DATA
                                             FILE_WRITE_DATA
                                             FILE_APPEND_DATA
                                             FILE_READ_EA
                                             FILE_WRITE_EA
                                             FILE_EXECUTE
                                             FILE_READ_ATTRIBUTES
                                             FILE_WRITE_ATTRIBUTES



    C:\Temp>icacls TEST
    test DOM\usr:(OI)(CI)(RX,W)

    Elaborazione completata per 1 file. Elaborazione non riuscita per 0 file

    ciao


     


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere






    martedì 5 aprile 2016 20:22
    Moderatore

Tutte le risposte

  • Ciao,

    se possono modificare possono anche cancellare, del resto se anche fosse possibile, io potrei "modificare" un documento word cancellandone tutto il contenuto...

    Puoi provare a mettere deny su delete come dice qui

    http://superuser.com/questions/720486/how-to-prevent-users-from-deleting-a-folder-while-still-giving-them-modify-perm

    ma non sono sicuro funzioni.


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti



    • Modificato aperelli lunedì 4 aprile 2016 21:26
    lunedì 4 aprile 2016 21:24
  • Ciao Angelo, non esiste un permesso esplicito di modifica in quanto questa avviene attraverso la cancellazione e la creazione di un nuovo file. Se non dai il permesso di elimina potrai modificare il contenuto di un file (write) ma non potrai modificarne il nome/estensione in quanto trattasi di una attività di modifica.

    Saluti
    Nino

    lunedì 4 aprile 2016 22:37
    Moderatore
  • Intanto vi ringrazio per la celerità e le risposte.

    @ aperelli

    Ci avevo già pensato ma non funziona

    @Nino

    Facendo diversi test ti posso dire che se non metti l'elimina (nelle impostazioni avanzate) non ti fa nemmeno modificare il file. Lo apri lo modifichi ma al momento di salvarlo segnala accesso negato e crea un file TMP.

    Se ci pensi ha senso: quando apri il file genera un file temporaneo nascosto che al momento del salvataggio e chiusura va eliminato. Non avendo il permesso di elimina non puoi eliminare nemmeno il tmp e va in errore.

    Il rinomina non funziona senza elimina.

    Purtroppo non mi fa postare le immagini

    Ciao

    Angelo

      

    martedì 5 aprile 2016 17:45
  • lo supponevo [cit.]

    Mi chiese la stessa cosa un cliente e se non ricordo male la risposta di MS fu che "modifica" consente anche di cancellare


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    martedì 5 aprile 2016 17:49
  • Infatti, stiamo dicendo la stessa cosa. Non è possibile farlo.
    martedì 5 aprile 2016 19:54
    Moderatore
  • Facendo diversi test ti posso dire che se non metti l'elimina (nelle impostazioni avanzate) non ti fa nemmeno modificare il file. Lo apri lo modifichi ma al momento di salvarlo segnala accesso negato e crea un file TMP.

    Se ci pensi ha senso: quando apri il file genera un file temporaneo nascosto che al momento del salvataggio e chiusura va eliminato. Non avendo il permesso di elimina non puoi eliminare nemmeno il tmp e va in errore.

    Questo è vero per alcuni programmi, ma non è una regola, dipende da come gli applicativi sono stati progettati...

    Normalmente, programmando, se si apre un file in scrittura/modifica il permesso di cancellazione non serve.

    Se togli il "delete" e provi il seguente comando di accodamento dir *>>fileditest.txt vedrai che funziona, notepad e word NO,  con i file di office avrai un effetto collaterale tanti file tmp per quante volte hai aperto e chiuso (come hai riscontrato) il file stesso

    Per i file word il delete è necessario come specificato da MS Windows NTFS permissions are required when you run Word on any NTFS partition that has Windows...

    Una soluzione non c'è, bisogna pensare qualcosa di alternativo, backup incrementali frequenti, shadow copy ravvicinate, robocopy con opzione mon ...

    ecco i permessi che ho usato che equivalgono al modifica di MS senza il delete: (OI)(CI)(RX,W)

    C:\Temp\TEST DOM\usr:(OI)(CI)(accesso speciale:)
                                             READ_CONTROL
                                             SYNCHRONIZE
                                             FILE_GENERIC_READ
                                             FILE_GENERIC_WRITE
                                             FILE_GENERIC_EXECUTE
                                             FILE_READ_DATA
                                             FILE_WRITE_DATA
                                             FILE_APPEND_DATA
                                             FILE_READ_EA
                                             FILE_WRITE_EA
                                             FILE_EXECUTE
                                             FILE_READ_ATTRIBUTES
                                             FILE_WRITE_ATTRIBUTES



    C:\Temp>icacls TEST
    test DOM\usr:(OI)(CI)(RX,W)

    Elaborazione completata per 1 file. Elaborazione non riuscita per 0 file

    ciao


     


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere






    martedì 5 aprile 2016 20:22
    Moderatore
  • Concordo con te che dipende dal tipo di file, ma in fase di assegnazione permessi su una cartella come fai a garantire la modifica senza il delete?
    martedì 5 aprile 2016 20:26
    Moderatore
  • Concordo con te che dipende dal tipo di file, ma in fase di assegnazione permessi su una cartella come fai a garantire la modifica senza il delete?

    secondo me non si puó fare, ovvero se hai modifica puoi cancellare.

    Ho appena testato, anche con deny su delete, se ho modifica posso cancellare i files.

    Posso dire che l'avevo detto sul primo post?! ;)


    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli martedì 5 aprile 2016 20:42
    martedì 5 aprile 2016 20:41
  • Concordo con te che dipende dal tipo di file, ma in fase di assegnazione permessi su una cartella come fai a garantire la modifica senza il delete?

    Devi gestire le "autorizzazioni speciali": vai in sicurezza -> avanzate -> cambia autorizzazzioni e deselezioni il Delete

    oppure da command line

    icacls "c:\temp\prova" /grant "DOMINIO\utente":(OI)(CI)(RX,W) /inheritance:r


    rem esempio di modifica senza delete
    @cd\
    @mkdir c:\temp @mkdir c:\temp\test @set testdir=c:\temp\test @set file=%testdir%\file di prova.txt @cls rem File in sola modifica (senza il delete) icacls "%testdir%" /grant "%username%":(OI)(CI)(RX,W) /inheritance:r @echo. :: eeee @echo Premere invio per creare il file "%file%" completamente vuoto 0 @pause>nul rem creo il file type nul> "%file%" @dir "%file%" /q |find /i "%username%" start notepad "%file%" @pause echo 1. Prima modifica>> "%file%" start notepad "%file%" @pause echo 2. modifico il file aggiungendo questa riga>> "%file%" start notepad "%file%" @pause echo 3. Aggiungi una riga anche tu e salva >> "%file%" start notepad "%file%" @pause echo 4. non convinto lo rimodifico >> "%file%" start notepad "%file%" @pause @echo lo cancello del /q /f "%file%" @if exist "%file%" (dir "%file%" /q |find /i "%username%" & @echo Cancellazione non riuscita...) @echo FINE @pause
    ciao



    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    mercoledì 6 aprile 2016 20:07
    Moderatore
  • ma in questo modo devi dare i permessi ai singoli files, se dai modify senza delete alla cartella madre puoi cancellare i files figli

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti


    • Modificato aperelli mercoledì 6 aprile 2016 20:22
    mercoledì 6 aprile 2016 20:22
  • ma in questo modo devi dare i permessi ai singoli files,

    no

    (OI)(CI)(RX,W)  tradotto Questo folder, sottodirectory e files in lettura esecuzione e scrittura

    se dai modify senza delete alla cartella madre puoi cancellare i files figli

    Sulla Cartella madre bisogna anche togliere anche il "Delete Subfolders and Files" e rompere l'ereditarietà se provi lo script o l'icacls vedrai che funziona, ma ci stiamo incartando, il mio era un "proof of concept" del modifica che purtroppo non è utilizzabile (come ho detto) con gli applicativi usati da Angelo-Tao.

    Questi post sono stati un occasione di approfindimento, che mi hanno permesso di  avere maggior controllo sulle sottili problematiche che potrebbero insorgere.

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 6 aprile 2016 23:40
    Moderatore
  • vero, evidentemente ricordavo male. Resto del parere che se puoi cambiare il contenuto impedire la cancellazione e comunque triviale.

    This post is provided AS IS with no warranties or guarantees, and confers no rights.
    ~~~
    Questo post non fornisce garanzie e non conferisce diritti

    giovedì 7 aprile 2016 08:50