Позвольте пользователю изменять полномочия на папке, но не удалять/изменять доступ Администраторов домена?

Короткий ответ - нет. Если пользователь может изменить разрешения на что-либо, он может изменить все разрешения. Но если вы доверяете человеку в первую очередь редактировать разрешения, разве вы не можете доверять ему, чтобы он не испортил их, удалив важные части? Или еще лучше, как насчет того, чтобы доверять им, пока они не облажались. Затем еще раз оцените ситуацию.

Единственный технический способ обойти это - предоставить своего рода интерфейс для изменения разрешений. Интерфейс имеет "реальный" доступ для изменения разрешений, но позволяет пользователю изменять только те разрешения, которые должны быть редактируемыми. Это излишне для чего-то вроде этого, но теоретически это сработает.

* Edit: Я должен указать, что даже если они удалят привилегии администратора домена из папки, это не означает, что вы потеряете доступ навсегда. Это просто означает, что ваше приложение не работает, пока кто-то не поймет, что произошло, и не восстановит правильные разрешения. Как администратор домена вы всегда сможете сбросить владельца папки и повторно добавить разрешения.

Это просто означает, что ваше приложение не работает, пока кто-то не поймет, что произошло, и не восстановит правильные разрешения. Как администратор домена вы всегда сможете сбросить владельца папки и повторно добавить разрешения.

Это просто означает, что ваше приложение не работает, пока кто-то не поймет, что произошло, и не восстановит правильные разрешения. Как администратор домена вы всегда сможете сбросить владельца папки и повторно добавить разрешения.

Создайте группу для спортивного отдела и дайте ей необходимые разрешения (или, возможно, несколько групп, если вы хотите поддерживать разные профили разрешений, такие как только чтение, чтение-запись и т. Д.). Затем делегируйте управление группой в Active Directory, чтобы тренер мог добавлять / удалять пользователей из этой группы.

Первый результат в Google для делегирования группового управления в AD: http://codeidol.com/active-directory/active-directory/Groups/Delegating-Control-for-Managing-Membership-of-a-Group/

Изменить: я хотел прояснить, что вы создают группы специально для предоставления разрешений, поэтому вы не захотите использовать какие-либо существующие группы Athletic Dept.

Это просто. В качестве примера: создайте подпапку под названием «Футбол» и создайте соответствующую группу. Затем делегируйте право любому специалисту по легкой атлетике добавлять или удалять пользователей в группу безопасности «Футбол». Пока группа Soccer имеет достаточный доступ к NTFS ACL для папки Soccer, им вообще не нужно будет изменять права доступа к файлам.

Люди в группе Soccer смогут видеть подпапку Soccer.

]

Нет.

Если у вас есть доступ для изменения разрешений, вы можете изменить разрешения, в том числе разрешения администраторов и специальных учетных записей.

Альтернатива, которая может сработать для вас, - чтобы настроить папку для наследования разрешений от родительской папки, для которой он не может изменять разрешения. Определите разрешения, которые вы не хотите, чтобы он мог изменять там, и распространите эти разрешения вниз. Конечно, он сможет отключить наследуемые разрешения и удалить эти разрешения, но на самом деле вы мало что можете с этим поделать ... кроме как сказать ему не делать этого и предупредить его, что если он это сделает, вы отмените его доступ с изменением разрешений и применение разрешений, которые вы считаете подходящими с этого момента.

(Я обнаружил, что это довольно эффективно: «Вот ваш доступ, не надо» поскольку мне назначили проблему AdminSDHolder . Вы всегда можете написать сценарий для проверки разрешений в этом дереве каталогов через регулярные промежутки времени (скажем, каждый час), при необходимости захватить право собственности, а затем повторно применить разрешения, которые вы хотите / должны иметь в дополнение к тому, что хочет тренер.

Честно говоря, мне кажется, что проблем больше, чем того стоит, когда гораздо проще предупредить / пригрозить пользователю от глупости, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы и в моем окружении ... так что спасибо, что спросили и заставили меня подумать об этом.

поскольку мне назначили проблему AdminSDHolder . Вы всегда можете написать сценарий для проверки разрешений в этом дереве каталогов через регулярные промежутки времени (скажем, каждый час), при необходимости захватить право собственности, а затем повторно применить разрешения, которые вы хотите / должны иметь в дополнение к тому, что хочет тренер.

Честно говоря, мне кажется, что проблем больше, чем того стоит, когда гораздо проще предупредить / пригрозить пользователю от глупости, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы и в моем окружении ... так что спасибо, что спросили и заставили меня подумать об этом.

Честно говоря, мне кажется, что это больше проблем, чем оно того стоит, когда намного проще предупредить / пригрозить пользователю против глупостей, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы и в моем окружении ... так что спасибо, что спросил и заставил меня задуматься об этом.

Честно говоря, мне кажется, что проблем больше, чем того стоит, когда намного проще предупредить / пригрозить пользователю против глупостей, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы и в моем окружении ... так что спасибо, что спросил и заставил меня задуматься об этом.