Запрет на удаление файлов в сетевой папке
Не знаю насколька правильно я сделал. Но я сделал следующее, "Свойства" D диска, далее "Безопасность" "Дополнительно" "Рзрешения" "Изменить разрешения" Добавил нужную группу, т. е. пользователи, "Изменить" Рядом где есть галочки "Разрешить" есть и "Запретить", я поставил "Запретить" "Удаление", далее "Ок". Теперь с ограниченной учетной записи, файлы удалить нельзя, нужно ввести пароль. Правда я не знаю правильно ли сделал.
Скажем так, - не совсем правильно. Дело в том, что запрет имеет абсалютный приоретет перед разрешениями и в будещем может создать для Вас ряд проблем. Именно поэтому Системные Администраторы крайне неохотно используют возможность что-либо запретить, предпочитая использовать разрешения. Однако, это не означает, что запреты вообще нельзя применять. Эта возможность заложена в операционную систему и использование ее может быть вполне оправданным. Просто, если есть возможность, запретами злоупотреблять не стоит. Бесплатных консультаций по лицензированию и Законодательству РФ здесь больше не предоставляю.
К сожалению, это не помогло.
Благодарим за отзыв, он поможет улучшить наш сайт.
Благодарим за отзыв.
Здрвствуйте. Есть два логических диска, основной и D. На втором находятся различные файлы, видео, фото. Из учетной записи, с ограниченными правами их можно удалить. Как запретить пользователям с огр. правами удалять из него файлы?
Для того, чтобы запретить пользователям учетных записей с ограниченными правами удалять файлы с диска, щелкните по нему правой кнопкой мыши, нажмите "Свойства", перейдите на вкладку "Безопасность", нажмите кнопку "Дополнительно" и в открывшемся окне на вкладке "Разрешения" нажмите кнопку "Изменить разрешения". В следующем окне проверьте есть ли группа в которую входят учетные записи пользователей с ограниченными правами в секции "Элементы разрешений". Если нет, то нажмите "Добавить", и добавьте эту группу. Если есть, то выберите ее и нажмите "Изменить" снимите воткрывшемся окне все разрешения кроме "Выполнение файлов", "Чтение данных", "Чтение атрибутов", "чтение дополнительных атрибутов", "Чтение разрешений" и нажмите "Ок". Затем поставьте галочку в чекбоксе "Заменить все разрешения дочернего объекта . " и так же нажмите "Ок". Подтвердите выполнение всех операций во всех окнах. После того, как все окна закроются, перейдите внутрь какой-либо папки на диске D: и в свойствах любого файла, на вкладке "Безопасность" проверьте какие разрешения есть у группы в которую входят учетные записи с ограниченными правами. У них должны быть права только на "Чтение и выполнение", "Список содержимого папки", "Чтение"
При объединении нескольких компьютеров в сеть для осуществления доступа к некоторым папкам необходимо внести соответствующие изменения в настройки этих директорий. Общий доступ к папкам и файлам позволяет выполнять любые действия, которые могут привести к нежелательным последствиям, например, к удалению нужных файлов. Для блокировки файлов требуется сделать запрет на их удаление, причем опция редактирования файлов должна остаться активной.
Чтобы создать папку общего доступа, выберите необходимую папку в проводнике, нажмите правой кнопкой мыши на ней, в контекстном меню выберите пункт «Общий доступ и безопасность». В открывшемся окне поставьте отметку напротив пункта «Открыть общий доступ к этой папке», затем отметьте пункт «Разрешить изменение файлов по сети». После нажатия на кнопку «Применить» на экране появится окно, в котором будет отображен процесс изменения атрибута файлов, которые содержатся в выбранной папке.
Создали общий доступ к папке, теперь стало возможным редактировать любой файл выбранной папки. Для запрета удаления файла из папки общего доступа необходимо нажать правой кнопкой мыши на папке, в контекстном меню выберите пункт «Свойства». В открывшемся окне перейдите к вкладке «Безопасность». Выберите имя пользователя, под которым вы зашли в систему, нажмите кнопку «Дополнительно».
В открывшемся окне, на вкладке «Разрешения», нажмите кнопку «Изменить». В новом окне «Элемент разрешения для папки» поставьте отметки напротив пунктов «Удаление подпапок и файлов» и «Удаление». Затем нажмите кнопку «ОК».
На вкладке «Разрешения» нажмите кнопку «Применить». Перед вами появится окно с предупреждением о смене элементов запрета, нажмите кнопку «Да». Затем нажмите 2 раза кнопку «ОК».
Откройте папку общего доступа и попробуйте удалить любой файл. После небольшого ожидания появится окно, которое вам сообщит об ошибке удаления файла.
Составляющей обеспечения безопасности в операционной системе является обеспечение запрета удаления файлов или директорий. Эти меры предполагают сокрытие, запрет редактирования, просмотра или добавление разрешающих прав на обработку файловых объектов.
Создано большое число программных продуктов, призванных организовать защиту файлов, папок, но чаще они разрешают задачу удаления файлов комплексно, делая их скрытыми или запрещая доступ.
Содержание статьи
Все каталоги, файлы, процессы в Виндовс создает определенный юзер. Создатели Windows постарались разработать такую систему защиты, что у каждого юзера имеется вполне конкретный кейс прав. Этот кейс содержит опции запрещающего или разрешающего характера для манипулирования процессами, файловыми объектами.
Есть возможность осуществить запрет на уровне учетной записи. Соорудив, например, директорию или файл в администраторской учетке с одновременным открытием доступа на уровне гостевых учеток, — оставив им права записи, чтения, перемещения. Однако чаще нужно сделать запрет на уровне текущей (собственной) учетной записи.
Автор также рекомендует:
Нам нужно обратиться к системе безопасности Виндовс. Этот способ предполагает, что файловой системой диска расположения объекта выбрана изначально NTFS. Именно она предоставляет механизм распределения запрещающих и разрешающих опций для всех юзеров. FAT-системы подобных разграничений предложить не могут.
Более того, накладываемые ограничения касаются не самого объекта, а его расположения. Если его местоположение окажется изменено, то и доступ возобновится. Нужно понимать также, что опции запрещающего характера имеют высший приоритет в сравнении с разрешающими, поэтому если выбраны одинаковые настройки разрешения и запрета, то первыми исполняются именно права запрета.
Для начала запретим удаление определенному юзеру
Однако такое ограничение окажется шире, так как придется ограничивать полный доступ.
Первым делом откроем контекстное меню выбранного файла и отыщем в нем пункт свойств.
В открывшемся окошке пройдем на вкладку «Безопасность».
В поле групп и пользователей выберем нужного юзера.
Нажмем кнопочку «Изменить» и, в появившемся окне, в списке разрешений групп установим флажки запрещающих настроек.
Теперь сохраним сделанные изменения.
Продолжим выполнение операции
Теперь, видим, что у нас появились галочки у запретительных опций
Так, мы установим ограничения на полный доступ, которые также включают запрет на удаление объекта.
Попытка открыть файл изображения из запрещенного размещения. Теперь попробуем его удалить.
Соглашаемся с предупреждением
Однако выскакивает следующее окошко. Жмем «Продолжить».
Система все равно не разрешает удалить объект.
Запрещаем удаление большого количества объектов
Тот же механизм ограничений можно наложить на большое число объектов, расположенных в единой директории. При этом запрет можно наложить для всех юзеров системы. Такого рода ограничение (для всех) можно проделать и для отдельно взятого файла. В этом случае нам понадобится добавить новую пользовательскую группу («Все»). Затем, понадобится проставить флажки запретительных опций.
Вновь проходим на вкладку безопасности
Нажмем кнопочку «Дополнительно», чтобы открылось окошко расширенных настроек.
Затем выбираем «Изменить разрешения»:
В этом окне нужно выбрать «Добавить».
В окошке выбора групп и пользователей напишем новую категорию «Все» и проверим имена.
После этой процедуры система покажет размещение, для которого в данный момент исполняются ограничения. Далее, нужно лишь нажимать «Ок» и соглашаться с всплывающими предупреждениями.
Соглашаемся продолжить выполнение операции
Как видим, у нас появилась новая группа с особыми правами.
Здесь эти особые права также видны.
Попытаемся что-нибудь удалить из этого каталога.
Соглашаемся с перемещением в корзину.
Однако видим знакомое окошко, требующее повышения прав.
Система немного думает…
Однако затем сообщает, что возможности удалить файл из этого размещения нет.
Создано множество программных инструментов для ограничения пользовательского доступа к объектам файловой системы. Однако Виндовс располагает встроенными собственными инструментами. Файловая система NTFS позволяет задать ограничительные настройки для размещения конкретного юзера или для всех расположений сразу. При этом такие ограничения могут запретить полный доступ или только удаление одного или множества каталогов и файлов.
Запрет удаления пользовательских папок на файловом ресурсе
При задании прав доступа к файлам и каталогам, например на файловой шаре, где каждый пользователь имеет свою папку, хочется ограничить права владельцев этих папок, чтобы они, например, не смогли вдруг удалить всю свою папку.
Для этого можно задать ACL на родительской папке, запрещающее операцию удаления. Создадим ее для Everyone, запретим операцию Delete, и применим это правило только для папок пользователей, т.е. не будем его распространять на более низкие уровни иерархии.
Однако, если на родительской папке у вас задано правило, например, для всех пользователей домена (Domain Users или Users), разрешающее им полный доступ Full Access (что в принципе не рекомендуется), то в этом случае пользователи сохранят возможность удаления папок, несмотря на запрещающее правило.
Почему так происходит? Казалось бы, запрещающее правило (Deny) обладает преимуществом перед разрешающими правилами (Allow), в случае, если оба типа правил применяются через наследование (это также справедливо, если оба правила указаны явно в DACL).
Просто в этом случае, пользователи получат право удаления папки вследствие наличия у них права Delete subfolders and files, которым они обладают в соответствии с DACL родительской папки.
Если же мы уберем права Full Control (которые по умолчанию включают в себя Delete subfolders and files) и оставим только Change, то пользователи потеряют право удаления папки, как мы и задумывали.
Рассмотрим еще один частный случай.
Если в списке контроля доступа родительской папки указано право Full Control для создателя папки, CREATOR OWNER для дочерних файлов и папок, то пользователь, создавший папку, автоматически получит полные права для этой папки.
Однако это не совсем так.
Удалить папку он все-таки не сможет, так как для него по-прежнему действует правило, запрещающее удаление, наследуемое от родительской папки.
Но ведь он обладает полными правами на папку, включая право Delete subfolders and files.
Так в том то и дело, что это право дает ему возможность удалять папки и файлы, входящие в созданную им, дочернюю, папку. А удалить саму дочернюю папку он не может, так как он не обладает правом Delete subfolders and files для родительской папки.
Следствием этого является также и то, что ему будет отказано и в праве переименования папки, так как процесс переименования фактически состоит из удаления объекта файловой системы и создания его с новым именем.
Однако все эти возможности будут доступны администраторам, естественно в случае, если в DACL родительской папки вы дали группе администраторов полные права. В это случае они будут пользоваться тем самым правом Delete subfolders and files, определенным для родительской папки.
Здесь есть еще одна деталь.
Права Full Control, определенные для создателя папки фактически наследуются от родительской папки, также как и правило, запрещающее операцию удаления.
В этом случае можно считать, что оба правила определены на одном уровне – и правило Allow, и правило Deny наследуются от вышестоящих папок. В этом случае правило Deny обладает приоритетом по отношению к правилу Allow.
Однако, если пользователь, создавший папку добавит в ее DACL явную запись, разрешающую ему операцию удаления – а он сможет это сделать, так как обладает правом Full Control не эту папку – то он получит возможность как переименовать ее, так и удалить.
Происходит это потому, что явно указанные записи обладают приоритетом, перед унаследованными от вышестоящих папок.
То есть получается, что явно указанное разрешающее правило (Allow) переопределяет унаследованное запрещающее правило (Deny).
Если же мы укажем явно определенное правило Deny для этого каталога, то ото будет обладать приоритетом по отношению как к унаследованным правилам (Allow или Deny), так и по отношению к явно указанным правилам Allow.
Читайте также: