none
windows server 2008 NTFS права на папку RRS feed

  • Общие обсуждения

  • Добрый день!

    Подскажите пожалуйста как правильно реализовать следующую схему:

    Есть папка Folder, есть две группы пользователей group1 и group2. Нужно, чтобы group1 чтение и правка уже созданных файлов, но не могла создавать новые файлы и папки. Group2 полные права.

    С полными правами все понятно, но вот как реализовать запрет на создание и оставить возможность правки я не нашел.




    11 декабря 2012 г. 6:39

Ответы

  • Сделаете два ACL для group1

    безопасность->доп.параметры->изменить разрешения для группы->изменить

    Вы увидите расширенные настройки прав ntfs.

    Вам необходимо дать права на дозапись данных и создание папок.

    Применение укажите только для файлов.

    Чтобы убрать права на создание папок Вам понадобится второй ACL,где этот параметр надо будет запретить.

    Только область применения для папки



    • Изменено Dmitry.Solo 11 декабря 2012 г. 7:37
    11 декабря 2012 г. 6:57

Все ответы

  • Сделаете два ACL для group1

    безопасность->доп.параметры->изменить разрешения для группы->изменить

    Вы увидите расширенные настройки прав ntfs.

    Вам необходимо дать права на дозапись данных и создание папок.

    Применение укажите только для файлов.

    Чтобы убрать права на создание папок Вам понадобится второй ACL,где этот параметр надо будет запретить.

    Только область применения для папки



    • Изменено Dmitry.Solo 11 декабря 2012 г. 7:37
    11 декабря 2012 г. 6:57
  • Но мне нужно чтобы в папке folder так же не могли создавать ничего.

    Получается следующее, group2 может создавать папки но не может создавать файлы.

    Может открывать, файлы, может их редактировать но не может сохранить изменения.

    • Изменено Probvs 11 декабря 2012 г. 7:21
    11 декабря 2012 г. 7:09
  • На создание папок вы выдадите явный запрет, а на создание файлов просто не дадите разрешений :-)

    За создание файлов отвечает разрешение "Создание файлов\запись данных".

    Как я уже сказал, то вы можете выбрать область применения у первого ACL для этой папки, ее подпапок и файлов.

    И дать права на создание папок\дозапись файлов - это даст права на редактирование, но оставит права на создание подпапок.

    Во втором ACL, при области применения только для папки- Вы выдадите явный запрет на создание папок. (Так как область применения "для подпапок", то запрет не распространится на дозапись данных)

    Так как разрешения на создание файлов вы не давали => их нет, пользователи из группы 1 не смогут создавать файлы и папки, из-за явного запрета. Только редактирование








    • Изменено Dmitry.Solo 11 декабря 2012 г. 7:38
    11 декабря 2012 г. 7:27
  • Но мне нужно чтобы в папке folder так же не могли создавать ничего.

    Получается следующее, group2 может создавать папки но не может создавать файлы.

    Может открывать, файлы, может их редактировать но не может сохранить изменения.


    Вы создали второй ACL?
    11 декабря 2012 г. 7:49
  • Хм, сделал. Все ок, только не могу сохранить изменения в файле в данной папке!:(
    • Изменено Probvs 11 декабря 2012 г. 8:07
    11 декабря 2012 г. 8:06
  • Хм, сделал. Все ок, только не могу сохранить изменения в файле в данной папке!:(

    Покажите Ваши разрещения.

    Вы уверены, что вы во втором ACL (где запрещаете создание папок) выставили область применения корректно? Только для папок и подпапок.


    11 декабря 2012 г. 8:25

  • Имел ввиду результат команды cacls "директория"


    • Изменено Dmitry.Solo 11 декабря 2012 г. 8:50
    11 декабря 2012 г. 8:43
  • cacls r:\folder
    r:\Folder Domain\R_Management_Edit_Only:(DENY)(special access:)
                                                 FILE_APPEND_DATA

                Domain\R_Management_Edit_Only:(OI)(CI)(special access:)
                                                         READ_CONTROL
                                                         SYNCHRONIZE
                                                         FILE_GENERIC_READ
                                                         FILE_GENERIC_EXECUTE
                                                         FILE_READ_DATA
                                                         FILE_APPEND_DATA
                                                         FILE_READ_EA
                                                         FILE_EXECUTE
                                                         FILE_READ_ATTRIBUTES

                 Domain\R_Management_RW:(OI)(CI)C
    11 декабря 2012 г. 9:05
  • Попробуйте добавить в ACL с запретом - запрет на создание файлов\запись данных,

    А в ACL разрешений на - дать разрешение на создание файлов\запись данных.

    Сообщите о результате.


    • Изменено Dmitry.Solo 11 декабря 2012 г. 9:30
    11 декабря 2012 г. 9:25
  • Очень странно, я с такими настройками даже зайти в эту папку не могу.
    11 декабря 2012 г. 10:18
  • Уточню еще раз задачу на всякий случай:

    Есть папка folder"

    Нужно дать группе group2 права на чтение и редактирование всего содержимого этой папке, включая подпапки и файлы в подпапках. Но им удалять ничего нельзя.

    11 декабря 2012 г. 10:48
  • Очень странно, я с такими настройками даже зайти в эту папку не могу.

    А что отображается в действующих разрешениях?
    11 декабря 2012 г. 12:20
  • Уточню еще раз задачу на всякий случай:

    Есть папка folder"

    Нужно дать группе group2 права на чтение и редактирование всего содержимого этой папке, включая подпапки и файлы в подпапках. Но им удалять ничего нельзя.

    так удалять или создавать? постановка задачи мягко говоря в корне изменилась.

    про удаление есть отдельная галочка, только надо учесть нюансик с файлами microsoft office: при сохранении файла, excel например, старая версия удаляется а временный файл переименовывается на место старого, поэтмоу без прав удаления редактировать такие файлы будт проблематично

    11 декабря 2012 г. 15:27
    Модератор