web-dev-qa-db-ja.com

Windowsのアクセス許可-ユーザーが所有者であっても、ファイルの削除を許可しない

フォルダー/ファイルを作成できるようにユーザーアカウントを設定していますが、他のユーザーが作成したフォルダー/ファイルは削除できません。ただし、作成したフォルダ/ファイルは削除できます。私は彼らがこれをできるようにしたくありません。

ユーザーが所有者/作成者であっても、ユーザーがアイテムを削除できないようにする方法はありますか?

または、作成時にフォルダー/ファイルの所有者を自動的に管理者に変更して、一般ユーザーアカウントが削除できないようにブロックすることはできますか?

アイデアや提案はありますか?

5

重要なのは、ファイルのACLでファイルを削除する資格がある場合、ユーザーはファイルを削除できるということですor含まれているディレクトリのACLにより、子の削除権限が付与されます。この制限付きユーザーがどちらの権限も取得しないようにする必要があります。ファイルを削除できないようにする特別なフォルダーで、[セキュリティの詳細設定]ウィンドウで次のアクセス許可を割り当てます。

  • 「フォルダーのトラバース/ファイルの実行」、「フォルダーのリスト/データの読み取り」、「属性の読み取り」、「拡張属性の読み取り」、「ファイルの作成/データの書き込み」、「フォルダーの作成/データの追加」、および「読み取り権限」を許可する「このフォルダーとサブフォルダー」
  • 「このフォルダー、サブフォルダー、およびファイル」に対する「サブフォルダーとファイルの削除」、「削除」、および「権限の変更」を拒否します。
  • 「ファイルのみ」のフルコントロールを許可します(これは前の拒否ルールによってモデレートされます)

ただし、このユーザーは作成したファイルの所有者であるため、削除を許可するようにアクセス許可を変更することができます。パズルの最後のピースは、難解なOWNER RIGHTSプリンシパルです。このフレーズは、通常ユーザーまたはグループの名前を入力するユーザー選択ダイアログに直接入力できます。 「サブフォルダーとファイルのみ」に対する「読み取り権限」のみをOWNER RIGHTSに付与する最後のルールをフォルダーに作成します。次に、そのフォルダー内のファイルの所有者であることの唯一の利点は、ACLを表示できることを保証しますが、変更はできないことです。

2
Ben N

NTFSオブジェクトの所有者がアクセス許可を変更できないようにする

ユーザーがWindowsネットワーク共有を介してデータにアクセスする場合、システム管理者はフルコントロールshare権限を付与しないことにより、NTFSファイルまたはフォルダーの所有者が権限を変更できないようにすることができます。

enter image description here

この記事 へのクレジット:=

したがって、オブジェクトの所有者であっても、サーバー管理者が許可していないアクセス許可を自分に付与することはできないため、オブジェクトの所有者であっても、最初からユーザーに付与されているアクセス許可はそのまま有効です。

これを必要とする理由が何であるかに応じて、ユーザーがアクセスできない場所への定期的なバックアップが解決策になる場合があります。

0
Acccumulation

許可の許可を無効にするので、単に許可の拒否を使用します。

いずれの場合も、所有者はアクセス許可を変更してファイルの削除を許可できることに注意してください。それが起こった場合、それは明白な意志の行為であり、偶然ではなく、通常は大丈夫です。

また、拒否のアクセス許可を設定した場合、サーバーで実行されている一部のプログラムやスクリプトは、アクセス許可を再度変更するまで、ファイルの削除や移動ができなくなることに注意してください。

0
LPChip