У же месяц мучаюсь с утилитой xcacls, которая предназначена для установки специальных прав доступа к файлам и папкам файловой системы NTFS! Задача следующая: установить права доступа конкретному пользователю на:
папку - чтение, запись, выполнение;
подпапки и файлы - чтение, запись, выполнение, удаление.
Результат - пользователь может все что угодно делать с содержимым папки, но не может удалить или переименовать саму папку. Результата я пока не добился.
Если кто-нибудь делал такое, знает как это сделать или сделает, отпишите, пожалуйста, одной строкой на примере папки "d:\test" и пользователя "user".

Вот строчка...

cacls d:\test /e /g COMP\user:r & cacls d:\test /e /c /g COMP\user:w & cacls d:\test\* /e /t /p COMP\user:f

Только я не сообразил, как сделать так, чтобы создаваемые в этой папке файлы не наследовали разрешения самой папки (родителя), используя cacls. Получается, что юзер создаст там файл, и хрен удалит\переименует его. Это только через GUI видимо, или я не знаю...
Если узнаешь, сигнализируй :)

2Sham
Проблема в том, что изначально папка D:\test пустая и использование подстановочного знака "*" ничего не даст!:( Так что юзер создавая подпапки и файлы удалить или изменить их уже не сможет, как ты и писал!
Щас ковыряю WMIC, вроде там можно это сделать.

P.S. Вопрос остается открытым!!!

Murindal
Тебе лучше виртуальный диск создавать на эту папу при входе (subst). (http://forum.oszone.net/showthread.php?t=62747&goto=newpost)
WMIC - геморрой, и по-моему ничего не даст. Но если получится, то пиши...

to Murindal
В Windows XP (да и для w2000 подойдет, я думаю) для NTFS через вкладку Безопасность в свойствах папки/файла я могу подсказать как сделать, если надо. А программами я не пользуюсь, не вижу смысла.

Guyver
Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI :) А программами я не пользуюсь, не вижу смысла.Когда вам понадобится выставить права доступа на паре сотен машин, вы смысл сразу увидите :)

Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI
Спасибо, учту на будущее. Впредь обещаю не лезть с глупыми советами...

Vadikan
Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI
Тем не менеее из содержания поста следует как раз обратное. Нельзя ограничить права на папку ROOT\TEST без изменения соответствующих прав на папку-контейнер (ROOT), в частности - права на переимонование и удаление TEST.

Murindal

Для выполнения требуемых условий потребуется создать как минимум три ACL:
1. ACL для корневой папки (просмотр), желательно без наследования
2. ACL для TEST (просмотр+создание) без наследования, тип "только для текущей папки"
3. ACL для TEST (RWD), тип наследования - "только для подпапок и файлов", т.е. исключая текущую.

Легко убедиться, что XCACLS поддерживает только три типа наследования: "только для файлов", "для этой папки и ее подпапок", "для этой папки, ее подпапок и файлов", т.е. для реализации задачи однозначно не подходит. Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT. Одно неудобство - INF файл содержит SID а не имя учетной записи, но думаю при желании его можно "обойти" применением соответствующих утилит типа GETSID.

amel27Тем не менеее из содержания поста следует как раз обратное.Я в детали первого поста не вникал... Я просто подумал, что человек просто должен знать как выставить права через GUI и что там можно сделать, если он месяц мучается с xcacls. Спасибо за исчерпывающий ответ :)

amel27
Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT
А вот здесь бы конкретики хотелось, если можно...

Огромное всем спасибо, особенно amel27! Твой вариант понял, попробую реализовать. С xcacls'ом ничего не выйдет. Буду продолжать крутить WMIC. Как будут результаты - отпишу!!!

Раскрою суть, чего я так мучаюсь! Мне надо переставить систему со всем софтом (примерно 10Гб) на 72 компах, причем клонить их нельзя, т.к. системники находятся под стикерными пломбами. Для установки я используюю заранее собраный образ и ставлю систему с DHCP сервера. После установки я юзаю cmd-скрипт, которой мне разбивает диск на 3 диска, создает некоторые папки, открывает шары, вводит в домен и задает права доступа к разным разделам. Обычные глобальные юзеры ничего не могут записывать на диск С:\ , для этого у ние есть D:\users. Вот как раз с этой папкой у меня и проблема, так как надо дать пользователям полный контроль над содержимым папки, но не позволить им удалять ее! А, честно говоря, пробежаться по 72 компам и руками поставить "delete subfolders and files" конечно могу, но хочеться вообще полной автаматической установки!

вводит в домен И в чем тогда проблема? Создай соотв. правило в политике домена и не парься... :)