Пытаюсь запретить пользователям удалять файл в общей папке. Права на запись у них есть. Создаю в ACL для группы "Все" запрет на удаление и в родительской папке запрет на удаление подпапок и файлов. Файл всё равно можно удалить. Куда копать?

Свойства файла (папки) - Безопасность - изменить - дополнительно - удаление. При необходимости включить наследование для низлежащих объектов.

monkkey, Я как бы написал что добавляю в ACL же

... Файл всё равно можно удалить...1. Может удалить кто угодно?
2. Без каких-либо предварительных действий?

DmitriiV, да. Утвердительно на оба пункта. Сначала я думал что пользователь с правами админа может. Потом проверил - может кто угодно, просто нажав del

Кто владелец файла?

DmitriiV, Группа администраторы

Если пользователи имеют разрешение Full Control на родительский каталог, они могут удалять любое его содержимое, невзирая на локальные ACL конкретных вложенных объектов. Классика жанра — никогда и нигде не разрешать пользователям Full Control, включая домашний каталог.

UncleStark, проверьте действующие разрешения на файл и проанализируйте схему наследования DACL.

WindowsNT, то есть если где то выше по дереву у пользователя если фул контрол, даже если наследования нет - он сможет всё удалять?

Я бы сказал, если есть Full Control на родительский каталог. Выше по дереву не проверял, а с родительским каталогом это стопроцентно работает. Блокирование наследования производится на уровне конкретного объекта, но операция удаления происходит не на уровне этого же объекта. Она производится с родительским каталогом.

WindowsNT, именно удаления, а не перемещения в Корзину?

Iska, WindowsNT, Вот именно, потому что в корзину не удаляет, но полное удаление срабатывает. В родительском каталоге ни у кого полного доступа нет

Покажите полный ACL проблемного файла. Это в кнопке Advanced, где должны быть видны все ACEs и точки наследования.