Разрешение Windows - Запретить создание подпапок, но разрешить редактирование файлов
В настоящее время я пытаюсь настроить папку на файловом сервере (Windows Server 2012 r2), где некоторые пользователи могут создавать и редактировать файлы, но не могут создавать подпапки. Я предполагал, что с расширенными разрешениями это будет легко, просто сняв флажок «Создать / добавить папки», должно получиться, поэтому я и сделал именно это.
Однако, когда я это сделаю, пользователи с указанными разрешениями смогут открывать файлы только в папке в режиме только для чтения. Еще больше сбивает с толку то, что они все еще могут делать все остальное, например сохранять под другим именем, создавать файл, удалять файл ... так что в некотором смысле они все еще могут редактировать файл (сохраняя его под именем "файл2", удаляя " file1 ", а затем переименовал" file2 "в" file1 "), но это очень больно.
Я пробовал с файлами Excel, Word и даже .txt, поэтому могу предположить, что затронуты все типы файлов.
Я споткнулся после this при поиске в Google моей проблемы, но добавление предложенного правила запрета приводит только к тому же результату.
Что-то мне не хватает?
Кстати, если это имеет какое-то значение, это происходит и на клиентах Windows 10 и на W2012R2 RDP.
Я бы установил это так:
Если вам трудно читать картинку, вот записи в текстовой форме:
- Администраторы: Полный доступ, применяется к этому папка, подпапки и файлы
- Пользователи: Полный доступ, применяется только к файлам
- Пользователи: Создание файлов / запись данных, применяется только к этой папке
- Пользователи: Чтение и выполнение, применяется к этой папке, подпапкам и файлам
(Вариант, описанный в вашем самоответе, также будет работать, если вы сделаете это таким образом, просто сделаете намерение немного более понятным для тех, кто посмотрит его позже.)
Основная проблема заключается в том, что файлы и папки используют один и тот же набор разрешений, и некоторые из них имеют другое значение для файлов, чем для папок.
В частности, право доступа «создание папок / добавление данных» имеет следующие эффекты:
- Для папки это позволяет вам создавать новые подпапки в папке.
- Для файла это позволяет вам добавлять данные в конце файла.
Таким образом, если приложение не имеет этого права на конкретный файл, оно не может сделать этот файл длиннее, чем он есть. В этом отношении, согласно строгому чтению документации, он также не может уменьшить его, но я не уверен, что это действительно так. : -)
В любом случае это обычно означает, что приложение вообще не может открыть файл для записи. Большинство приложений запрашивают общий доступ для записи при открытии файлов для редактирования, включая право на добавление данных. В этом сценарии это не сработает, и приложение, как правило, либо полностью выйдет из строя, либо вернется в режим только для чтения.
Итак, я нашел решение благодаря комментарию Гарри Джонстона, приветствую его:
На вкладке «Безопасность» -> «Дополнительно» вам нужно установить 2 наборы разрешений для любой заинтересованной группы:
- Один применяется к папкам, подпапкам и файлам (по умолчанию), где вы снимаете флажок «Создание / добавление папок».
- Один применяется ТОЛЬКО ДЛЯ ФАЙЛОВ , где вы даете им обычные разрешения на редактирование.
Тем не менее, я должен сказать, что это невероятно нелогично, поскольку снятие флажка «Создание / добавление папок» влияет на других t петли, чем папки. На самом деле вроде как поражение всей цели.