[решено] Разрешения NTFS. [Версия для КПК] - Компьютерный форум OSzone.net

Показать полную графическую версию : [решено] Разрешения NTFS.

nokogerra

24-12-2014, 08:49

Доброго времени суток.
Группа X имеет права на чтение на каталог E:\test, каталог E:\test\1 унаследовал эти разрешения. Нужно дать права данной группе вносить любые изменения/создавать/удалять каталоги и файлы внутри E:\test\1 без удаления/изменения самого E:\test\1.
В ACL E:\test\1 добавляю флаги "Разрешить" на Изменение и Запись, в дополнительных свойствах пробовал оставлять Применяется к: "Для этой папки, ее подпапок и файлов" и ставить флаг "Применять эти разрешения к объектам и контейнерам только внутри этого контейнера", однако этот флаг "только внутри" не помогает и пользователь-член группы X может удалить и сам каталог E:\test\1.
Пробовал менять на Применяется к:"Только для подпапок и файлов", т.е. по идее права должны быть на все вложенные каталоги и файлы, но пользователь-член группы X может только изменять и удалять файлы и каталоги, а создавать не может, хотя права даны все, кроме изменения владельцев и разрешений. Что я делаю не так?
p.s. E:\test отдается как общий ресурс с правами на чтение для проблемной группы.

WindowsNT

29-12-2014, 10:59

Показывайте снимки конфигурации.
Вариант второй: не морочиться с детализованными разрешениями (кто-то ещё на конторе сможет это понять и поддерживать?), но иметь shadow copies + аудит на удаление.

nokogerra

29-12-2014, 11:42

Извините, я забыл указать что уже решено. Вот тема (https://social.technet.microsoft.com/Forums/ru-RU/ab7ec5b8-b242-493a-98c0-4906f88bf6ad/-ntfs?forum=WS8ru). Powershell`ом сделал так:

Import-Csv "path_to_csv.csv" -Delimiter ";" | foreach{
$acl = Get-Acl $_.folder
$usr = $_.samaccountname.trim()
$acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule("domain.local\$usr","Read, ExecuteFile, CreateFiles, AppendData", "None", "None", "Allow")))
$acl | Set-Acl
}
Import-Csv "path_to_csv.csv" -Delimiter ";" | foreach{
$acl = Get-Acl $_.folder
$usr = $_.samaccountname.trim()
$acl.AddAccessRule((New-Object System.Security.AccessControl.FileSystemAccessRule("domain.local\$usr","Modify, DeleteSubdirectoriesAndFiles", "ContainerInherit, ObjectInherit", "InheritOnly", "Allow")))
$acl | Set-Acl
}

где csv вида:

folder;samaccountname
E:\testx\1;name1
E:\testx\2;name2
................

в качестве samaccountname может выступать и samaccountname пользователя, и name группы.