Как запретить пользователям удалять папку, в то же время предоставляя им права на изменение ее содержимого?

Я пытаюсь предотвратить случайное удаление пользователями определенных папок (например, папки их личного сканирования - хранящихся на их домашнем диске), в то же время предоставляя им разрешения на чтение и запись содержимого этих специальных папок.

Мои эксперименты с различными комбинациями разрешений NTFS не увенчались успехом, так как я обнаружил, что пользователи либо не могут получить доступ к содержимому ..., либо могут удалить родительскую папку.

Как я могу это сделать?

Как указал Грэм, ключевым моментом здесь было использование нескольких записей прав доступа для одного и того же пользователя (что я никогда раньше не пробовал)

Разрешения на родительскую папку дают пользователям почти абсолютную свободу вносить любые изменения ... за исключением того, что флажок «удалить» не отмечен - поэтому пользователи не могут случайно удалить / переместить / переименовать эту важную папку:

Переходя ко второму набору разрешений для того же пользователя (который применяется не к самой папке, а к ее содержимому), мы видим точно такие же права, которые были предоставлены пользователю, включая привилегии «удалить».

Таким образом, пользователи могут делать с вложенными папками и файлами все, что пожелают, включая их удаление / перемещение / переименование.

Эта конфигурация позволяет мне защищать ключевые папки, такие как персонализированные целевые каталоги сканирования, которые находятся в личных сетевых папках пользователя. Пользователи могут изменять содержимое (например, удалять PDF-файлы сканов, которые они больше не хотят хранить), но не могут непреднамеренно создавать проблемы для себя, удаляя папку, которую сканер ожидает увидеть при сохранении в сети.

Мне пришлось отключить наследование для специальной папки, так как в противном случае было бы невозможно внести изменения в разрешения пользователя, которые отличались от корня сетевого ресурса; Однако, весь суб папка и объекты этого использовать наследование, чтобы получить разрешение от их родительской папки.

Как только я понял, что именно нужно сделать, это заняло всего пару минут для настройки каждого пользователя. Теперь я уверен, что ключевые сетевые папки не могут быть случайно удалены пользователями.

Папка должна иметь разрешение на чтение, удалять подпапки и файлы, создавать папки / добавлять данные, создавать файлы / записывать данные, читать атрибуты, перечислять папку / читать данные, перемещать папку / выполнять файл и все. Содержание должно быть под полным контролем. Эта комбинация должна (при условии правильного владения файлами и правильного создания и администрирования пользователей) позволить вашим пользователям иметь доступ через папку к ее содержимому, без возможности удалить или изменить саму папку.

Возможность удаления чего-либо из папки обычно зависит от прав, назначенных родителем, а не от самой папки (т. Е. Вы не можете сказать: «Не удаляйте меня»). Таким образом, это означает, что вам нужно контролировать разрешение на удаление самой папки в разрешениях родительского элемента папки.

Например:

A
| -B
| + a.html
| + b.html
| + c.html
+ -C
  + a.doc
  + b.doc

Если ответ Остин Пауэр не работает для вас, вот два других варианта

Опция 1

Просто создайте подпапку с одним пустым текстовым файлом и лишите его доступа у пользователей, которых вы хотите защитить.

Как это работает? : Поскольку пользователи не могут удалить файл в подпапке, они также не могут удалить подпапку и родительскую папку.

Внимание! : Если вы попытаетесь удалить родительскую папку, вы действительно потерпите неудачу, но только после того, как все внутри будет удалено (кроме, конечно, специальной папки / файла).

Вариант 2

Выполните эту процедуру, чтобы предотвратить удаление папки или случайное перетаскивание с помощью безопасности NTFS.