none
共有フォルダ内のフォルダ削除禁止について RRS feed

  • 質問

  • 共有フォルダ内のフォルダ削除禁止について

    ActiveDirectory環境で共有フォルダを作成しておりますが、下記環境を実現したいと思います。

     共有フォルダ(共有レベル:users 変更、セキュリティレベル:users 変更)

      -全体共有(セキュリティレベル:継承 で全員が読み書き可)

      -部署フォルダ(セキュリティレベル:継承無効化後グレープに対して読み書き可)

      -システムフォルダ

      -その他...

    上記環境でシステムフォルダをフォルダそのもの削除を禁止し、フォルダの中のサブフォルダーおよびファイルの

    読み書きはできるようにしたいと思っております。

    システムフォルダのセキュリティで

     Users:このフォルダ:許可:変更

     Users:このフォルダ:禁止:削除

     Users:サブフォルダおよびファイル:許可:変更

    などと設定を行ってもシステムフォルダそのものを削除できてしまいます。

    どのように設定するのが良いのでしょうか?

    よろしくお願いいたします。

    2015年4月7日 23:15

回答

  • 削除できないような。

    C:\>tree share /f
    ...
    C:\SHARE
    └───system
    
    C:\>icacls share
    share BUILTIN\Administrators:(OI)(CI)(F)
          NT AUTHORITY\SYSTEM:(OI)(CI)(F)
          BUILTIN\Users:(OI)(CI)(M)
    
    Successfully processed 1 files; Failed processing 0 files
    
    C:\>icacls share\system
    share\system BUILTIN\Users:(DENY)(D)
                 BUILTIN\Administrators:(I)(OI)(CI)(F)
                 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                 BUILTIN\Users:(I)(OI)(CI)(M)
    
    Successfully processed 1 files; Failed processing 0 files
    
    C:\>md share\system\dir
    
    C:\>copy nul share\system\dir\file
            1 file(s) copied.
    
    C:\>tree share /f
    ...
    C:\SHARE
    └───system
        └───dir
                file
    
    
    C:\>del share\system\dir\file
    
    C:\>rd share\system\dir
    
    C:\>rd share\system
    Access is denied.
    
    C:\>tree share /f
    ...
    C:\SHARE
    └───system
    
    C:\>whoami /groups | find /i "enabled"
    Everyone                                                      Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
    BUILTIN\Users                                                 Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\INTERACTIVE                                      Well-known group S-1-5-4      Mandatory group, Enabled by default, Enabled group
    CONSOLE LOGON                                                 Well-known group S-1-2-1      Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\Authenticated Users                              Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\This Organization                                Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\Local account                                    Well-known group S-1-5-113    Mandatory group, Enabled by default, Enabled group
    LOCAL                                                         Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\NTLM Authentication                              Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
    
    C:\>



    • 編集済み HomeCloset 2015年4月8日 0:12
    • 回答としてマーク 佐伯玲 2015年4月9日 1:12
    2015年4月8日 0:09

すべての返信

  • 削除できないような。

    C:\>tree share /f
    ...
    C:\SHARE
    └───system
    
    C:\>icacls share
    share BUILTIN\Administrators:(OI)(CI)(F)
          NT AUTHORITY\SYSTEM:(OI)(CI)(F)
          BUILTIN\Users:(OI)(CI)(M)
    
    Successfully processed 1 files; Failed processing 0 files
    
    C:\>icacls share\system
    share\system BUILTIN\Users:(DENY)(D)
                 BUILTIN\Administrators:(I)(OI)(CI)(F)
                 NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
                 BUILTIN\Users:(I)(OI)(CI)(M)
    
    Successfully processed 1 files; Failed processing 0 files
    
    C:\>md share\system\dir
    
    C:\>copy nul share\system\dir\file
            1 file(s) copied.
    
    C:\>tree share /f
    ...
    C:\SHARE
    └───system
        └───dir
                file
    
    
    C:\>del share\system\dir\file
    
    C:\>rd share\system\dir
    
    C:\>rd share\system
    Access is denied.
    
    C:\>tree share /f
    ...
    C:\SHARE
    └───system
    
    C:\>whoami /groups | find /i "enabled"
    Everyone                                                      Well-known group S-1-1-0      Mandatory group, Enabled by default, Enabled group
    BUILTIN\Users                                                 Alias            S-1-5-32-545 Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\INTERACTIVE                                      Well-known group S-1-5-4      Mandatory group, Enabled by default, Enabled group
    CONSOLE LOGON                                                 Well-known group S-1-2-1      Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\Authenticated Users                              Well-known group S-1-5-11     Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\This Organization                                Well-known group S-1-5-15     Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\Local account                                    Well-known group S-1-5-113    Mandatory group, Enabled by default, Enabled group
    LOCAL                                                         Well-known group S-1-2-0      Mandatory group, Enabled by default, Enabled group
    NT AUTHORITY\NTLM Authentication                              Well-known group S-1-5-64-10  Mandatory group, Enabled by default, Enabled group
    
    C:\>



    • 編集済み HomeCloset 2015年4月8日 0:12
    • 回答としてマーク 佐伯玲 2015年4月9日 1:12
    2015年4月8日 0:09
  • ご回答ありがとうございます。

    再度コマンドベースと合わせて、確認します。(少し時間を要しますが、後日返信いたします。)

    2015年4月8日 8:56
  • 別環境(テスト用ドメイン)で確認しました。

    結果としては、上記内容で問題なくフォルダの削除を拒否することができました。

    はじめの環境では、私のユーザーアカウントがDomainAdminsに入っていたため

    削除できたのではないかと思われます。

    コメントありがとうございました。

    2015年4月8日 11:11