Izin Keamanan Tingkat Lanjut untuk Drive Bersama

2

Saya memiliki drive folder bersama yang besar yang secara otomatis dibuat ketika klien ditambahkan ke perangkat lunak yang kami gunakan. Saya ingin memungkinkan pengguna untuk mengakses folder di tingkat atas drive tetapi tidak menulis, mengedit, menghapus atau memindahkan semua ini (hanya baca). Saya juga ingin mereka dapat mengakses folder di bawah folder teratas dalam drive dengan hak baca / tulis penuh.

Sebagai contoh: 

 Drive X: (shared drive)
 |
 +-- 1. Top Folder 1 (read only)
 |      |
 |      +-- lower folder/files (read/write)  
 |      |
 |      +-- lower folder/files (read/write)  
 |
 |
 +-- 2. Top Folder 2 (read only)
 |      |
 |      +-- lower folder/files (read/write)  
 |      |
 |      +-- lover folder/files (read/write)

Bagaimana saya mencapai ini?

windows file-permissions file-sharing shared-folders NeilR
sumber

Jawaban:

0

Anda dapat mencapai tujuan Anda dengan apa yang saya sebut Izin Folder Tingkat Atas .

Ringkasan

  • Di root drive, berikan Baca baca izin untuk pengguna Anda yang mengalir ke semua subfolder dan file di seluruh drive.
  • Pada setiap folder "Tingkat Atas" di drive root, terapkan izin khusus yang memberikan pengguna Memodifikasi izin untuk isi folder '(semua file dan subfolder) tetapi tidak ke folder Level Atas sendiri.

Langkah-langkah untuk Menerapkan

  1. Di drive Root, berikan Everyone (atau grup lain pilihan Anda) standar Baca baca izin
  2. Secara opsional, pada drive Root, pertimbangkan untuk memastikan SYSTEM dan Administrators diberikan Kontrol penuh , lalu hapus semua izin lainnya (mis. yang diberikan kepada CREATOR OWNER atau Users )
  3. Di setiap folder Tingkat Atas:
    • Berikan Everyone kelompok Memodifikasi izin, lalu edit penetapan izin itu di Pengaturan Keamanan Lanjutan untuk diterapkan Subfolder dan file saja
    • Masih dalam Pengaturan Keamanan Tingkat Lanjut, buat entri lain yang memberikan Everyone kelompokkan izin khusus berikut dan terapkan pada Hanya folder ini :
      • Buat file / tulis data
      • Buat folder / tambahkan data
  4. Ulangi langkah # 3 untuk setiap Folder tingkat atas

Bagaimana itu bekerja

Efek # 1 adalah memberi grup keamanan Anda kemampuan untuk Membaca semua yang ada di drive.

Efek # 3 adalah memberi grup keamanan Anda kemampuan untuk Memodifikasi semua objek anak dari folder Level Top Anda tanpa memberi mereka izin untuk memodifikasi folder Level Atas itu sendiri. Ini tidak cukup untuk mengizinkan mereka membuat apa pun di folder Tingkat Atas, karenanya izin 'buat' ekstra eksplisit.

Berlaku untuk Banyak Folder Tingkat Atas

Izin langkah # 3 di atas harus diterapkan setiap Folder "Tingkat Atas". Ini bisa memakan waktu lama jika Anda memiliki banyak folder. Izin ini dapat diterapkan ke semua subfolder di root drive menggunakan UNTUK dan ICACLS jalankan di Command Prompt yang Ditinggikan: 

For /D %f In (C:\*.*) Do ICACLS "%f" /grant "Everyone":(OI)(CI)(IO)(M)
For /D %f In (C:\*.*) Do ICACLS "%f" /grant "Everyone":(WD,AD)

Seperti yang ditunjukkan, kedua perintah ini akan memodifikasi semua subfolder di C:\ untuk memberikan izin yang diuraikan dalam langkah # 3 ke Everyone kelompok. Ubah kedua elemen ini sesuai dengan kebutuhan Anda. Uji dulu sebelum berjalan di sistem produksi!

Twisty Impersonator
sumber
Luar biasa, terima kasih banyak @Twisty, gangguan hanya ada ribuan "Folder Tingkat Atas" yang perlu dibatasi untuk membaca hanya dengan izin baca / tulis subfolder. Saya akan membayangkan bahwa ini akan dilakukan lebih cepat dengan cmd prompt.
NeilR
Skrip diberikan dalam jawaban yang diperbarui. Tidak ada lagi gangguan! Harap pilih apakah ini membawa Anda ke tempat yang Anda inginkan!
Twisty Impersonator