Препятствование тому, чтобы неадминистраторские пользователи удалили файлы в Windows 7
Моя ОС является Windows 7 Ultimate. Я заметил, что неадминистраторские пользователи моего ПК могут удалить файлы, которые создаются администраторским пользователем. Как я могу препятствовать тому, чтобы неадминистраторские пользователи удалили/изменили файлы, НЕ СОЗДАННЫЕ тем пользователем?
Я знаю, как использовать вкладку безопасности диалогового окна свойств файла/папки. Используя ту вкладку, могут быть настроены только единственный файл/папка и его подпапки так, чтобы конкретный пользователь/группа пользователя не мог изменить его. Я хотел бы знать путь, которым все неадминистраторские пользователи будут не мочь изменить файлы, которые не создаются ими.
Заранее спасибо.
2 ответа
В Windows файл обычно получает свой ACL от папки, в которой он создается. Если папка позволяет невладельцам файлов удалять их, то они могут, даже если владелец является администратором.
Поскольку Вы отмечаете, что можно изменить это для файла, папки или дерева папки.
Для изменения для всех папок, необходимо сначала определить, какие деревья папки Вы хотите изменить (например, Вы не должны начинать изменять полномочия C:\Users, C:\Windows... и другие системные папки).
Затем для каждого из них необходимо изменить ACL. Это может быть сделано в коде или сценарии (например, PowerShell), но требуется большее количество времени для описывания, чем я имею теперь (если Вы просто хотите скопировать один ACL в другую папку, Вы можете get-acl на первом и затем set-acl на другом).
Однако я предложил бы, чтобы Вы рассмотрели, почему Вы хотите сделать это. Если пользователь должен создать файлы, что только они могут удалить оптимальный маршрут, должен создать папку, с определенным ACL, с этой целью. Для не внесения некоторого глобального изменения так, администратор не должен думать.
При создании папки как администратор, она и ее содержание применяют уровень безопасности по умолчанию, который делает отчеты в чтении Группы пользователей, и выполните, но не удалите. Я согласился бы с комментарием Richards вместо того, чтобы определить явные полномочия, я определю то, что Вы хотите сделать и удостовериться, что другие учетные записи пользователей используют надлежащую группу пользователей. Если у Вас есть другие учетные записи пользователей, и они находятся в группе администраторов, они смогут получить доступ к любым папкам, если они выполнят развертку к файловой системе как администратор. Даже если Вы устанавливаете явные полномочия на одну учетную запись пользователя, пользователь в группе admin может взять владение и затем внести любые изменения, которые они хотят. Только более ограниченная учетная запись предотвратит это.