Проблема: Вы пользователь в настоящее время предоставляются дополнительные права
Я хочу установить разрешение таким образом, чтобы Алиса могла читать текстовые файлы, но не смогла изменить / удалить файлы / папку
Для достижения этого результата вашему пользователю должны быть предоставлены только разрешения на чтение NTFS для этой папки. Тот факт, что ваш пользователь все еще может изменять объекты в этой папке, указывает на то, что он получил больше, чем просто разрешение на чтение. NTFS-разрешения являются аддитивными. Поэтому все разрешения, предоставленные пользователю, складываются вместе, чтобы определить, что в конечном итоге может сделать пользователь.
Пользователю могут быть предоставлены разрешения через эти разрешения, предоставляемые непосредственно его пользовательскому объекту, или через разрешения, предоставленные группе, членом которой является пользователь.
Согласно выводу icacls "C:\ITSM Lab1\Administration\Gabi"
команды следующие удостоверения имеют (M) odify или (F) полное разрешение на папку (я исключил SYSTEM):
- Tanvir-PC \ Gabi: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (OI) (CI) (F)
- Tanvir-PC \ CEO: (OI) (CI) (F)
- Tanvir-PC \ SysAdministrator: (I) (OI) (CI) (F)
- Tanvir-PC \ CEO: (I) (OI) (CI) (F)
- ВСТРОЕНЫ \ Администраторы: (I) (F)
- ВСТРОЕНЫ \ Администраторы: (I) (OI) (CI) (IO) (F)
- NT AUTHORITY \ Аутентифицированные пользователи: (I) (M)
Наиболее очевидная проблема заключается в том, что специальные удостоверенные Аутентифицированные пользователи имеют разрешения на изменение. В эту группу автоматически входят все пользователи с действующей учетной записью на компьютере, в которую будет входить ваш пользователь.
Кроме того, если в этом списке есть какие-либо другие группы, членом которых является ваш пользователь, то его членство в этих группах также предоставит ему не только разрешения на чтение.
Доступные решения
Либо удалите пользователя из любой группы, которой предоставлено больше, чем разрешение на чтение в папку, либо отмените разрешения этой группы для папки.
Если вышеупомянутое не вариант, вы можете запретить вашему пользователю следующие разрешения для папки. Разрешения «Запретить» всегда переопределяют разрешения «Разрешить», поэтому это будет противодействовать любым разрешениям «Разрешить», независимо от того, как они предоставляются:
Разрешения для Deny:
- WD - записать данные / добавить файл
- AD - добавить данные / добавить подкаталог
- WA - написать атрибуты
- DC - удалить ребенка
- DE - удалить
- WEA - написать расширенные атрибуты
Примечание. Использование разрешений «Запретить» обычно является плохой идеей и должно использоваться только в качестве крайней меры.
Лучший способ управлять разрешениями
Обычно необходимо предоставить нескольким пользователям следующие разрешения для папки:
- Читать
- изменять
Наилучшим подходом, который сводит к минимуму работу, связанную с предоставлением / отзывом разрешений пользователям, является использование групп ресурсов . Группа ресурсов - это просто группа, которой предоставлен определенный тип разрешения для объекта. Например, вашей папке потребуются следующие группы:
- r_Gabi-Read (предоставленные разрешения на чтение)
- r_Gabi-Modify (предоставлены права на изменение)
Чтобы изменить права доступа пользователя или группы к объекту, вы просто добавляете / удаляете их из членства в соответствующей группе ресурсов. Это быстрее, чем изменение прав доступа к самому объекту. Кроме того, у него есть явное преимущество, заключающееся в том, что в оснастке MMC «Пользователи и группы Active Directory» (или «Локальные учетные записи» для компьютеров, не входящих в домен) четко указывается, кто к чему имеет доступ.
Эта стратегия требует, чтобы в дополнение к разрешениям группам ресурсов, вы только предоставить дополнительные разрешения Full Control к SYSTEM
и Administrators
идентичностей. Никакие другие разрешения не должны предоставляться на объект.