![]() |
xcacls и специальные права доступа!
У же месяц мучаюсь с утилитой xcacls, которая предназначена для установки специальных прав доступа к файлам и папкам файловой системы NTFS! Задача следующая: установить права доступа конкретному пользователю на:
папку - чтение, запись, выполнение; подпапки и файлы - чтение, запись, выполнение, удаление. Результат - пользователь может все что угодно делать с содержимым папки, но не может удалить или переименовать саму папку. Результата я пока не добился. Если кто-нибудь делал такое, знает как это сделать или сделает, отпишите, пожалуйста, одной строкой на примере папки "d:\test" и пользователя "user". |
Вот строчка...
cacls d:\test /e /g COMP\user:r & cacls d:\test /e /c /g COMP\user:w & cacls d:\test\* /e /t /p COMP\user:f Только я не сообразил, как сделать так, чтобы создаваемые в этой папке файлы не наследовали разрешения самой папки (родителя), используя cacls. Получается, что юзер создаст там файл, и хрен удалит\переименует его. Это только через GUI видимо, или я не знаю... Если узнаешь, сигнализируй :) |
2Sham
Проблема в том, что изначально папка D:\test пустая и использование подстановочного знака "*" ничего не даст!:( Так что юзер создавая подпапки и файлы удалить или изменить их уже не сможет, как ты и писал! Щас ковыряю WMIC, вроде там можно это сделать. P.S. Вопрос остается открытым!!! |
Murindal
Тебе лучше виртуальный диск создавать на эту папу при входе (subst). WMIC - геморрой, и по-моему ничего не даст. Но если получится, то пиши... |
to Murindal
В Windows XP (да и для w2000 подойдет, я думаю) для NTFS через вкладку Безопасность в свойствах папки/файла я могу подсказать как сделать, если надо. А программами я не пользуюсь, не вижу смысла. |
Guyver
Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI :) Цитата:
|
Цитата:
|
Vadikan
Цитата:
Murindal Для выполнения требуемых условий потребуется создать как минимум три ACL: 1. ACL для корневой папки (просмотр), желательно без наследования 2. ACL для TEST (просмотр+создание) без наследования, тип "только для текущей папки" 3. ACL для TEST (RWD), тип наследования - "только для подпапок и файлов", т.е. исключая текущую. Легко убедиться, что XCACLS поддерживает только три типа наследования: "только для файлов", "для этой папки и ее подпапок", "для этой папки, ее подпапок и файлов", т.е. для реализации задачи однозначно не подходит. Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT. Одно неудобство - INF файл содержит SID а не имя учетной записи, но думаю при желании его можно "обойти" применением соответствующих утилит типа GETSID. |
amel27
Цитата:
|
amel27
Цитата:
|
Огромное всем спасибо, особенно amel27! Твой вариант понял, попробую реализовать. С xcacls'ом ничего не выйдет. Буду продолжать крутить WMIC. Как будут результаты - отпишу!!!
Раскрою суть, чего я так мучаюсь! Мне надо переставить систему со всем софтом (примерно 10Гб) на 72 компах, причем клонить их нельзя, т.к. системники находятся под стикерными пломбами. Для установки я используюю заранее собраный образ и ставлю систему с DHCP сервера. После установки я юзаю cmd-скрипт, которой мне разбивает диск на 3 диска, создает некоторые папки, открывает шары, вводит в домен и задает права доступа к разным разделам. Обычные глобальные юзеры ничего не могут записывать на диск С:\ , для этого у ние есть D:\users. Вот как раз с этой папкой у меня и проблема, так как надо дать пользователям полный контроль над содержимым папки, но не позволить им удалять ее! А, честно говоря, пробежаться по 72 компам и руками поставить "delete subfolders and files" конечно могу, но хочеться вообще полной автаматической установки! |
Цитата:
|
Время: 16:48. |
Время: 16:48.
© OSzone.net 2001-