Сетевая папка на MS Win2003, ограничиваю пользователям доступ возможностью только читать и создавать файлы. Возникло 2 вопроса:
1) По описанию, если ставить разрешение "Создание файлов / Запись данных", то пользователи могут не только создавать, но и изменять файлы. (Хотя при тестировании такого не произошло)
2) При открытии файла Вордом или Экселем создаются временные файлы, удалить которые пользователь не имеет прав. Как с ними бороться? Если поставить разрешение на удаление "СОЗДАТЕЛЮ-ВЛАДЕЛЬЦУ", то пользователи смогут поудалять и свои нужные файлы.

создаются временные файлы, удалить которые пользователь не имеет прав. Как с ними бороться? »Тупо на сервере запускать каждую минуту cacls d:\sharedfolder\~*.* /G Everyone:F =)

вообще не понятна затея - создавать/изменять файлы без права удаления?.. но ведь можно открыть, удалить весь текст и сохранить пустой файл... чем это лучше удаления файла через проводник? Создавать файлы без права редактирования и вовсе бессмысленно... :dont-know

Тупо на сервере запускать каждую минуту cacls d:\sharedfolder\~*.* /G Everyone:F
Тогда лучше дать доступ на удаление владельцам и периодически менять владельца у папки и всего содержимого. Правда, не нашел, как это сделать с помощью CACLS.
Создавать файлы без права редактирования и вовсе бессмысленно...
Папка с нормативными документами, например. Или с фотками (любят дамы удалять фотки, где они плохо получились ;) )

не нашел, как это сделать с помощью CACLS »можно при помощи SubInACL (http://www.microsoft.com/downloads/details.aspx?FamilyID=E8BA3E56-D8FE-4A91-93CF-ED6985E3927B&displaylang=en):SubInACL /File * /SetOwner=Domain\User
Или с фоткамихм, я так понимаю "создать" можно только пустой файл - без прав на запись/дозапись данными его не заполнить, даже если они бинарные (для картинок тоже есть редакторы :) ), хотя может я и не прав...

Нет, нет. Права на "создание файлов / запись данных" есть, поэтому файлы копируются без проблем. Просто, в описании сказано, что при таких правах пользователь сможет изменять содержимое файлов, но при проверке не подтвердилось.
SubInACL /File * /SetOwner=Domain\User Спасибо, пожалуй так и сделаю. Запуска скрипта на смену владельца раз в день будет вполне достаточно.

в описании сказано, что при таких правах пользователь сможет изменять содержимое файлов, но при проверке не подтвердилось »ну это зависит от приложения, оно неявно при сохранении может потребовать дополнительные права.... например, на правку атрибутов. В принципе, это можно проверить - включить аудит на файл и посмотреть в журнале безопасности, какие права запрашивало приложение и в каких ему было отказано.