Eu tenho um diretório compartilhado via CIFS de um "servidor" do Windows 7. Sem domínio: apenas um simples grupo de trabalho.
Meus clientes acessam esse diretório via LAN por meio de contas de "Usuário padrão" (sem "Administrador") no servidor. Eles usam esse compartilhamento para "armazenamento pessoal", portanto, precisam criar/editar/excluir completamente tudo dentro dele.
O problema é: eu crio um diretório no lado do servidor lá.Este único item não deve ser editável de forma alguma, apenas legível/navegável/listável(vamos nos concentrar no diretório em si, não no arquivo dentro dele (às vezes não há nenhum)).
Estou trabalhando com permissões NTFS: removi a herança do diretório que não deve ser excluído, para poder trabalhar em suas permissões.
Removi a conta do cliente e, nesta fase, apenas SYSTEM, Administradores e eu estamos presentes com suas permissões. Nesta fase, os clientes não podem excluir nem abrir a pasta.
Se eu adicionar uma regra Negar "controle total", nada muda (conforme esperado).
Masse eu modificar essa regra e permitir apenas "Listar pasta/ler dados", mantendo todas as outras em Negar... o usuário pode excluir a pasta!?!?!?
Como isso é possível? o que estou entendendo mal?
Nota: verifiquei novamente com um único arquivo, não com um diretório: mesmo problema!
Esta é a saída do Icacls:
NÃO DEVE EXCLUIR AUTORIDADE NT\SYSTEM:(OI)(CI)(F) muletto\Zane:(OI)(CI)(F) BUILTIN\Administradores:(OI)(CI)(F) muletto\myNetworkUser:(OI) (CI)(RX)
1 arquivo processado com sucesso; Falha ao processar 0 arquivos
Responder1
OK. Posso confirmar que um usuário pode excluir um arquivo (ou remover um diretório vazio) sem ter acesso de gravação a esse arquivo/diretório se tiver acesso Excluir filho ao diretório pai. Se eu estivesse ciente disso antes, tinha esquecido, mas é um comportamento documentado, por exemplo, vejaKB101651.
Existem (pelo menos) três maneiras de resolver seu problema:
Conceda aos usuários acesso Modificar em vez de Controle Total ao diretório pai. As únicas diferenças entre Full Control e Modify são o direito Delete Child (permitindo ao usuário excluir objetos filho) e o direito Write DAC (permitindo ao usuário alterar as permissões no objeto, mesmo que não seja o proprietário).
Defina as permissões no compartilhamento para Modificar em vez de Completas. Isto deverá ter o mesmo efeito, mas afetará apenas os usuários da rede, e não os usuários interativos. Um efeito colateral é que os usuários não podem alterar as permissões, mesmo em seus próprios arquivos.
Defina o sinalizador somente leitura no arquivo/diretório filho. A documentação não é clara neste ponto, mas meus testes (Windows 7) indicam que Delete Child não permite excluir arquivos ou remover diretórios com o sinalizador somente leitura definido. Também não permite redefinir o sinalizador somente leitura. Observe que a GUI do Explorer implica que o sinalizador somente leitura não tem efeito nos diretórios; na verdade, evita que o diretório seja removido. (Isso não impede que novos arquivos sejam gravados no diretório.) Termo aditivo:o sinalizador somente leitura não impede que um diretório seja movido.
Outras notas:
Você poderia negar explicitamente o direito Excluir Filho ao diretório pai, mas se o usuário tiver Controle Total no diretório pai, ele poderá remover a entrada de negação.
Ter Delete Child diretamente no diretório pai não permite que os usuários excluam arquivos do diretório filho ou removam o diretório filho, a menos que esteja vazio. Termo aditivo:permite que os usuários movam o diretório filho.