Quiero establecer permisos en una carpeta en la que cada usuario local debería poder:
- Crear nuevos archivos o carpetas
- Pero sólo el propietario de un archivo debería poder modificarlo o eliminarlo.
Dado que necesitamos los Create Files/ Write Datapermisos Create Folders/ Append Datay Write Attributespara crear archivos, ¿cómo evito que los usuarios modifiquen el archivo de otro propietario? Además, con Write Attributespermitido, se permiten todas las modificaciones (excepto la eliminación). Pero si desactivo este permiso, no puedo crear archivos.
¿Qué permisos debería utilizar?
Respuesta1
Las claves que te faltan son la CREATOR OWNERidentidad y la configuración "Aplicar a".
Aplique los siguientes permisos a su carpeta compartida para permitir que la Everyoneidentidad cree archivos y carpetas, pero solo el propietario de un archivo o carpeta* ( CREATOR OWNERidentidad) pueda editarlo, cambiarle el nombre o eliminarlo:
+-----------------------+--------------------------------+ ----------------------+ | Identidad | Permisos | Aplicar a | +-----------------------+--------------------------------+ ----------------------+ | Todos | Leer y ejecutar | Esta carpeta, | | | | subcarpetas y archivos | +-----------------------+--------------------------------+ ----------------------+ | Todos | - Crear archivos/escribir datos | Esta carpeta y | | | - Crear carpetas/añadir datos | subcarpetas | +-----------------------+--------------------------------+ ----------------------+ | PROPIETARIO CREADOR | Control total | Sólo archivos | +-----------------------+--------------------------------+ ----------------------+ | PROPIETARIO CREADOR | Eliminar | Subcarpetas | | | | sólo | +-----------------------+--------------------------------+ ----------------------+
Lo que estamos haciendo aquí es otorgar a todos suficientes permisos para leer todo lo que hay en la carpeta y crear archivos y carpetas, pero eso es todo. Luego, los permisos del PROPIETARIO CREADOR toman el control. Cuando se crea un objeto, Windows aplica todos los permisos otorgados a la identidad CREADOR PROPIETARIO al creador del objeto.
EntoncesControl totalon Files solo permite al creador de un archivo hacer lo que desee con él. ElBorraren "Sólo subcarpetas" es un poco más oscuro; esto es necesario para permitir que el creador de una carpeta 1) le cambie el nombre y 2) la elimine. Sin embargo, si el propietario de una carpeta intenta eliminar una carpeta que contiene archivos o carpetas, lo hace.nopropio, entonces la operación de eliminación fallará.
*Estos permisos permiten modificar carpetas propiedad de un usuario, que usted no solicitó específicamente. Sin embargo, si no lo permite, los usuarios podrán crear una carpeta pero no cambiarle el nombre. Esto es problemático, por ejemplo, si un usuario crea una carpeta a través del menú contextual de Windows. En este caso, Windows primero crea una carpeta llamadaNueva carpetaluego le pide al usuario que le cambie el nombre, pero una vez que se crea por primera vez, el usuario de hechonopoder cambiarle el nombre.
Respuesta2
No tengo suficiente reputación para comentar, así que debo publicar esto como respuesta. Para complementar la respuesta de Twisty, sugeriría utilizar "Usuarios autenticados". Mucha gente utiliza "Todos" cuando realmente quiere utilizar usuarios autenticados. La diferencia es: los usuarios autenticados solo permiten usuarios válidos que no sean invitados ni anónimos. Todos permiten el acceso de cualquiera. Si desea otorgar acceso a empleados con cuentas válidas, utilice "Usuarios autenticados"
El grupo Todos es un superconjunto del grupo Usuarios autenticados. Incluye el grupo Usuarios autenticados y la cuenta de Invitado. Una diferencia importante entre los grupos Todos y Usuarios autenticados radica en la membresía de sus cuentas Invitado y Anónimo.
Material de lectura: https://www.itprotoday.com/security/authenticade-users-group-vs-everyone-group