web-dev-qa-db-fra.com

Autorisations pour créer des fichiers et des dossiers, mais uniquement Modifier les fichiers appartenant à

Je souhaite définir des autorisations sur un dossier dans lequel chaque utilisateur local devrait pouvoir:

  • Créer de nouveaux fichiers ou dossiers
  • Mais seul un propriétaire d'un fichier doit pouvoir le modifier ou le supprimer

Depuis que nous avons besoin de la Create Files/ Write Data, Create Folders/ Append Data et Write Attributes Autorisations Pour créer des fichiers, comment puis-je empêcher les utilisateurs de modifier le fichier d'un autre propriétaire? En outre, avec Write Attributes autorisé, chaque modification (sauf suppression) est autorisée. Mais si je désactive cette permission, je ne peux pas créer de fichiers.

Quelles autorisations dois-je utiliser?

windowspermissionswindows-serverownership
5
b10z

Les clés qui vous manquent sont les CREATOR OWNER identité et le paramètre "Appliquer à".

Appliquez les autorisations suivantes sur votre dossier partagé pour autoriser l'identité Everyone pour créer des fichiers et des dossiers, mais uniquement un fichier de fichier ou de dossier * (CREATOR OWNER identité) Pour éditer/renommer/supprimer:

[.____] + ---------------- + --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ---- + ----------------------- + [.____] | Identité | Autorisations | Appliquer à | [.____] + ---------------- + ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------- + ----------------------- + [.____] | Tout le monde | Lire et exécuter | Ce dossier, | [.____] | | | sous-dossiers et fichiers | [.____] + ---------------- + ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- --------- + ---------------------- + [.____] | Tout le monde | - Créer des fichiers/des données d'écriture | Ce dossier et | [.____] | | - Créer des dossiers/appends données | Subfolders | 
 + ---------------- + ---------------------------- ------ + ----------------------- + [.____] | Créateur propriétaire | Contrôle complet | Fichiers uniquement | [.____] + ---------------- + ---------------------------- ------- + ----------------------- + [.____] | Créateur propriétaire | Supprimer | Sous-dossiers | 
 | | | seulement | 
 + ---------------- + -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------ + ---------------------- + [.____]

Ce que nous faisons ici, c'est accorder à toutes les autorisations suffisantes pour tout lire dans le dossier et créer des fichiers et des dossiers, mais c'est tout. Ensuite, les autorisations du propriétaire de Créateur prennent la relève. Lorsqu'un objet est créé, Windows applique toutes les autorisations accordées à l'identité du propriétaire du Créateur au créateur de l'objet.

SO Contrôle complet sur les fichiers permet uniquement au créateur d'un fichier de faire quoi que ce soit avec elle il souhaite. Le Supprimer sur "Subfolders seulement" est un peu plus obscur; Ceci est nécessaire pour permettre au créateur d'un dossier de 1) renommer, et 2) la supprimer. Toutefois, si un propriétaire d'un dossier tente de supprimer un dossier contenant des fichiers ou des dossiers, il ne non propre, l'opération de suppression échouera.

* Ces autorisations permettent de modifier des dossiers appartenant à un utilisateur que vous n'avez pas spécifiquement demandé. Cependant, si vous n'êtes pas autorisé à cela, les utilisateurs peuvent créer un dossier mais ne pas le renommer. Ceci est problématique, par exemple, si un utilisateur crée un dossier via le menu contextuel Windows. Dans ce cas, Windows crée d'abord un dossier nommé Nouveau dossier demande ensuite à l'utilisateur de le renommer, mais une fois qu'il a créé pour la première fois l'utilisateur pas soit capable de le renommer.

4
I say Reinstate Monica

Je n'ai pas assez de réputation pour commenter, je dois donc poster cela comme une réponse. Pour ajouter à la réponse de Twistey, je suggère d'utiliser des "utilisateurs authentifiés". Beaucoup de gens utilisent "tout le monde" quand ils veulent vraiment utiliser des utilisateurs authentifiés. La différence est la suivante: les utilisateurs authentifiés permettent uniquement aux utilisateurs valides qui ne sont ni invités ni anonymes. Tout le monde permet à quelqu'un d'accès. Si vous souhaitez accorder l'accès aux employés avec des comptes valides, utilisez "Utilisateurs authentifiés"

Le groupe Tout le monde est un sur-ensemble du groupe d'utilisateurs authentifié. Il comprend le groupe d'utilisateurs authentifié et le compte invité. Une différence importante entre tous les groupes d'utilisateurs authentifiés réside dans l'adhésion de leur invité et des comptes anonymes.

Matériel de lecture: https://www.itododay.com/security/authentifié-utilisateurs-group-vs-everyone-group

3
The IT Guy