Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   Запрет на удаление файлов и MS Office (http://forum.oszone.net/showthread.php?t=99442)

Svarg 30-01-2008 12:06 728896
Запрет на удаление файлов и MS Office
 
Сетевая папка на MS Win2003, ограничиваю пользователям доступ возможностью только читать и создавать файлы. Возникло 2 вопроса:
1) По описанию, если ставить разрешение "Создание файлов / Запись данных", то пользователи могут не только создавать, но и изменять файлы. (Хотя при тестировании такого не произошло)
2) При открытии файла Вордом или Экселем создаются временные файлы, удалить которые пользователь не имеет прав. Как с ними бороться? Если поставить разрешение на удаление "СОЗДАТЕЛЮ-ВЛАДЕЛЬЦУ", то пользователи смогут поудалять и свои нужные файлы.

HLT 30-01-2008 12:48 728945
Цитата:
Цитата Svarg
создаются временные файлы, удалить которые пользователь не имеет прав. Как с ними бороться? »
Тупо на сервере запускать каждую минуту cacls d:\sharedfolder\~*.* /G Everyone:F =)

amel27 31-01-2008 07:26 729555
вообще не понятна затея - создавать/изменять файлы без права удаления?.. но ведь можно открыть, удалить весь текст и сохранить пустой файл... чем это лучше удаления файла через проводник? Создавать файлы без права редактирования и вовсе бессмысленно... :dont-know

Svarg 31-01-2008 08:19 729567
Цитата:
Тупо на сервере запускать каждую минуту cacls d:\sharedfolder\~*.* /G Everyone:F
Тогда лучше дать доступ на удаление владельцам и периодически менять владельца у папки и всего содержимого. Правда, не нашел, как это сделать с помощью CACLS.
Цитата:
Создавать файлы без права редактирования и вовсе бессмысленно...
Папка с нормативными документами, например. Или с фотками (любят дамы удалять фотки, где они плохо получились ;) )

amel27 31-01-2008 09:24 729610
Цитата:
Цитата Svarg
не нашел, как это сделать с помощью CACLS »
можно при помощи SubInACL:
Код:
SubInACL /File * /SetOwner=Domain\User
Цитата:
Цитата Svarg
Или с фотками
хм, я так понимаю "создать" можно только пустой файл - без прав на запись/дозапись данными его не заполнить, даже если они бинарные (для картинок тоже есть редакторы :) ), хотя может я и не прав...

Svarg 01-02-2008 09:25 730459
Нет, нет. Права на "создание файлов / запись данных" есть, поэтому файлы копируются без проблем. Просто, в описании сказано, что при таких правах пользователь сможет изменять содержимое файлов, но при проверке не подтвердилось.
Цитата:
SubInACL /File * /SetOwner=Domain\User
Спасибо, пожалуй так и сделаю. Запуска скрипта на смену владельца раз в день будет вполне достаточно.

amel27 01-02-2008 10:20 730498
Цитата:
Цитата Svarg
в описании сказано, что при таких правах пользователь сможет изменять содержимое файлов, но при проверке не подтвердилось »
ну это зависит от приложения, оно неявно при сохранении может потребовать дополнительные права.... например, на правку атрибутов. В принципе, это можно проверить - включить аудит на файл и посмотреть в журнале безопасности, какие права запрашивало приложение и в каких ему было отказано.


Время: 03:46.

Время: 03:46.
© OSzone.net 2001-