none
Permessi particolari in alcune cartelle: è possibile?

    Domanda

  • Buongiorno a tutti,

    ho la necessità di concedere dei permessi particolari su una cartella ad un gruppo di utenti.

    Questi infatti dovrebbero avere la possibilità di copiare all'interno della cartella files ma di non poterli cancellare.

    Ho provato assegnando a quel gruppo dei permessi speciali in scrittura ma non in modifica ma purtroppo se un utente del gruppo copia un documento, può successivamente cancellarlo. Non può invece cancellare quelli già presenti creati da altri utenti.

    Ora vi chiedo se questo sia fattibile o meno e in che modo.

    Grazie.

    mercoledì 17 maggio 2017 06:04

Risposte

  • Capisco che l'argomento sia piuttosto ostico e tragga facilmente in inganno anche i più esperti, l'unico modo per schiarirsi le idee è provare a capire giocando con i permessi...

    Mi è capitato che utenti non admin si fossero tolti tutti i permessi di accesso ad un folder e al relativo contenuto. Senza l'intervento di un utente administrator non avrebbero potuto riprendere possesso dei propri file ... questa è la potenza delle ACL

    per facilitarti ho scritto un batch che crea un folder con i permessi particolari:

    if not exist c:\temp mkdir c:\temp
    if not exist c:\temp\testFolder mkdir c:\temp\testFolder
    icacls c:\temp\testFolder /grant "NT AUTHORITY\SYSTEM:(OI)(CI)(F)"  "NT AUTHORITY\Authenticated Users:(OI)(CI)(RX,WD,WEA,WA)" /inheritance:r /t

    prova e fammi sapere

    ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    venerdì 19 maggio 2017 08:10
    Moderatore

Tutte le risposte

  • Se ne è parlato tempo fa di un problema simile, impedire la cancellazione è praticamente impossibile quando l'utente può scrivere o modificare o file, è ovvio che sia così, è inutile che non può cancellare il file quando può modificarlo e togliere tutto "dall'interno"...

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 17 maggio 2017 08:38
  • Ciao e grazie per la risposta.

    Forse mi sono spiegato male. Impedire la cancellazione e consentire la scrittura l'ho già fatto, ma funziona su documenti creati da terzi.

    Il mio problema è impedire la cancellazione di un file creato dall'utente stesso.

    Secondo me non si può semplicemente perchè l'utente diventa proprietario del file e quindi anche se spostato, il file creato in precedenza mantiene queste proprietà.

    Fila come discorso?


    mercoledì 17 maggio 2017 09:18
  • Si se l'utente crea il file è il proprietario e quindi....

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    mercoledì 17 maggio 2017 10:04
  • Perfetto, ora i conti tornano.

    Grazie Andrea per il tuo contributo!

    mercoledì 17 maggio 2017 15:31
  • Se questi utenti non sono degli admin, per impedire a loro stessi di cancellare i file devi eliminare anche il "creator owner" a questo punto, neanche il proprietario potrà cancellare i files trascinati/copiati nel folder.

    Di seguito trovi i permessi da dare al folder per ottenere ciò che vuoi, ma ti ricordo che gli applicativi con tali permessi hanno problemi a salvarci i file dentro (es. i programmi office necessitano dell'elimina per salvare...)


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    mercoledì 17 maggio 2017 20:13
    Moderatore
  • Gastone è vero che così facendo non lo puoi cancellare, ma se crei un altro file con lo stesso nome ma vuoto puoi sovrascrivere il file originale, quindi alla fine è come se lo avessi cancellato..

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    giovedì 18 maggio 2017 07:53
  • Grazie Gastone, sei stato molto utile.

    Non mi è chiara una cosa però:

    cit. Se questi utenti non sono degli admin, per impedire a loro stessi di cancellare i file devi eliminare anche il "creator owner"...

    Cosa intendi? Da dove lo elimino? Eliminarlo da ciascuno dei file creati è impossibile....

    giovedì 18 maggio 2017 15:32
  • Gastone è vero che così facendo non lo puoi cancellare, ma se crei un altro file con lo stesso nome ma vuoto puoi sovrascrivere il file originale, quindi alla fine è come se lo avessi cancellato..

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    Bisognava togliere l'aggiunta dati a questo punto anche il creatore del file non potrà sovrascrivere i sui files...


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 18 maggio 2017 18:23
    Moderatore
  • Non conosco i permessi del tuo file system, ne quelli del tuo folder speciale ... ho immaginato alcuni scenari in cui il "creator owner" potesse influire  negativamente. Qui trovi delle info utili  https://technet.microsoft.com/it-it/library/cc783530(v=ws.10).aspx

    Ti riporto un esempio molto carino descritto nel link sopra, che qualche volta ho usato per la consegna di elaborati, dove gli studenti dovevano "droppare" il file richiesto dal prof. per l'elaborato e non vendere ne cancellare quello degli altri.

    Drop folder. A folder where users can drop confidential reports or homework assignments that only the group manager or instructor can read.

    Grant Change permission to the Users group.

    Grant the Full Control permission to the group manager.

    Grant the Write permission for the users’ group that is applied to This Folder only. (This option is available on the Advanced page.)

    If each user needs to have certain permissions to the files that he or she dropped, you can create a permission entry for the Creator Owner well-known security identifier (SID) and apply it to Subfolder and files only. For example, you can grant the Read and Write permission to the Creator Owner SID on the drop folder and apply it to all subfolders and files. This grants the user who dropped or created the file (the Creator Owner) the ability to read and write to the file. The Creator Owner can then access the file through the Run command using \\ServerName\DropFolder\FileName.

    Note that as creator of the file, the user has the ability to Read and Change the permission on the file independent of any permissions that are granted explicitly.

    Grant the Full Control permission for the group manager.

     


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    giovedì 18 maggio 2017 19:29
    Moderatore
  • Ho letto, ma il mio dubbio permane.

    Se un utente crea un file sul suo client e poi lo sposta o copia nella folder con i permessi speciali, mi risulta che possa sempre rimuoverlo.

    E non è chiaro il procedimento per il quale il "proprietario" venga tolto in automatico dal momento che il documento viene spostato nella cartella con i permessi speciali.

    venerdì 19 maggio 2017 06:22
  • Capisco che l'argomento sia piuttosto ostico e tragga facilmente in inganno anche i più esperti, l'unico modo per schiarirsi le idee è provare a capire giocando con i permessi...

    Mi è capitato che utenti non admin si fossero tolti tutti i permessi di accesso ad un folder e al relativo contenuto. Senza l'intervento di un utente administrator non avrebbero potuto riprendere possesso dei propri file ... questa è la potenza delle ACL

    per facilitarti ho scritto un batch che crea un folder con i permessi particolari:

    if not exist c:\temp mkdir c:\temp
    if not exist c:\temp\testFolder mkdir c:\temp\testFolder
    icacls c:\temp\testFolder /grant "NT AUTHORITY\SYSTEM:(OI)(CI)(F)"  "NT AUTHORITY\Authenticated Users:(OI)(CI)(RX,WD,WEA,WA)" /inheritance:r /t

    prova e fammi sapere

    ciao


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere



    venerdì 19 maggio 2017 08:10
    Moderatore
  • Gastone sei un genio!!!!

    Era proprio quello che volevo e pensavo non si potesse fare!!!

    Grazieeeeeeeeeeeeeeeeeeeeeeeee!!!!!!!

    venerdì 19 maggio 2017 17:14
  • Gastone sei un genio!!!!

    Troppo, potrei montarmi la testa

    Era proprio quello che volevo e pensavo non si potesse fare!!!

    Grazieeeeeeeeeeeeeeeeeeeeeeeee!!!!!!!

    Siamo qui per questo, fare l'impossibile ;)

    Ciao Gas


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    venerdì 19 maggio 2017 19:47
    Moderatore