Estou tentando impedir que os usuários excluam acidentalmente determinadas pastas (como a pasta de destino de digitalização pessoal - armazenada em sua unidade doméstica), enquanto ainda lhes concedo permissões de leitura e gravação para o conteúdo dessas pastas especiais.
Minha experiência com várias combinações diferentes de permissão NTFS não teve êxito, pois acho que os usuários não conseguem acessar o conteúdo ... ou podem excluir a pasta pai.
Como posso fazer isso?
Respostas:
Como Graham apontou, usar várias entradas de permissões para o mesmo usuário (algo que eu nunca havia experimentado antes) era a chave aqui:
As permissões na pasta pai dão aos usuários liberdade quase absoluta para fazer qualquer alteração ... exceto que a caixa "excluir" está desmarcada - para que os usuários não possam excluir / mover / renomear esta pasta importante por acidente:
Passando para a segunda permissão definida para o mesmo usuário (que não se aplica à pasta em si, mas ao seu conteúdo), vemos exatamente os mesmos direitos concedidos ao usuário, incluindo privilégios de "exclusão".
Portanto, os usuários podem fazer o que quiserem com as subpastas e arquivos, inclusive excluindo / movendo / renomeando-os.
Essa configuração permite proteger pastas importantes, como diretórios de verificação de destino personalizados que residem nos locais de rede pessoal do usuário. Os usuários podem modificar o conteúdo (como excluir PDFs de digitalizações que não desejam mais manter), mas não podem causar problemas inadvertidamente excluindo uma pasta que o scanner espera ver ao salvar na rede.
Eu tive que desativar a herança para a pasta especial, pois, caso contrário, não era possível fazer alterações nas permissões do usuário, que variavam da raiz do compartilhamento de rede; no entanto, todas as sub pastas e objetos de fazer uso de herança, a fim de obter as permissões de sua pasta pai.
Depois que eu descobri exatamente o que precisava ser feito, isso levou apenas alguns minutos para se ajustar a cada usuário. Agora, tenho a tranqüilidade de saber que as principais pastas de rede não podem ser excluídas acidentalmente pelos usuários.
A pasta deve ter permissão de leitura, excluir subpastas e arquivos, criar pastas / acrescentar dados, criar arquivos / gravar dados, atributos de leitura, listar pastas / ler dados, atravessar pasta / executar arquivo e é isso. O conteúdo deve ter controle total. Essa combinação deve (assumindo a propriedade correta dos arquivos e a criação e administração corretas do usuário) permitir que os usuários tenham acesso através da pasta ao seu conteúdo, sem que eles possam excluir ou modificar a própria pasta.
A capacidade de excluir algo de uma pasta geralmente depende das permissões atribuídas pelo pai e não da própria pasta (ou seja, você não pode dizer: "Não me exclua"). Portanto, isso significa que você precisa controlar a permissão de exclusão da própria pasta nas permissões do pai da pasta.
Por exemplo:
UMA | -B | + a.html | + b.html | + c.html + -C + a.doc + b.docA capacidade de excluir "a.html" é controlada por "B" (ou herdada de "A"). Portanto, se você deseja deixar de excluir "B", é necessário definir as permissões corretamente em "A". Isso fica bastante irritante quando você deseja excluir "C", mas não "B". Às vezes, atribuir a propriedade de uma pasta (mas não o conteúdo) a um usuário separado é mais fácil e mais óbvio.
Se a resposta da Austin Power não estiver funcionando para você, aqui estão duas outras opções
Basta criar uma subpasta com um arquivo de texto vazio e tirar acesso dos usuários que você deseja proteger.
Como funciona? : Como os usuários não podem excluir o arquivo na subpasta, eles também não podem excluir a subpasta e a pasta pai.
Cuidado! : Se você tentar excluir a pasta pai, você realmente falhará, mas somente depois que tudo estiver excluído (exceto, é claro, a pasta / arquivo especial).
Siga este procedimento Impedir exclusão de pasta ou arrastar e soltar inadvertidamente com segurança NTFS