[решено] Дополнительные параметры безопасности

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)

Дополнительные параметры безопасности

Нужно настроить права на папку, чтобы пользователи из группы "Администраторы" имели полные права, а пользователи из группы "Пользователи" не могли запускать и удалять из этой папки файлы, система - WinXP Pro with SP3. На вкладке "Безопасность" дал полный доступ для "System" и "Администраторы". Для "Пользователи" убрал галки с "Полный доступ" и "Изменить", далее на вкладке "Дополнительно", поставил галки на "Запретить": "Обзор папок / Выполнение файлов", "Удаление подпапок и файлов" и "Удаление". В итоге получилось, что пользователи из группы "Администраторы" тоже не могут выполнять и удалять файлы. Не пойму почему права на запрет для группы "Пользователь" действуют на группу "Администраторы", может я что-то не так сделал и задал не правильно права?

Вот скриншот:

Цитата:

Цитата aVitaliy

далее на вкладке "Дополнительно", поставил галки на "Запретить": "Обзор папок / Выполнение файлов", "Удаление подпапок и файлов" и "Удаление"

Для каких групп? Для "Все"?

Цитата:

Цитата Angry Demon

Для каких групп? Для "Все"? »

Ставил для группы "Пользователь", на скрине я привел как поставил.

Вот, что пишет Cacls

Код:

C:\1 BUILTIN\Пользователи:(OI)(CI)(DENY)(специальный доступ:)



                                  DELETE

                                  FILE_EXECUTE

                                  FILE_DELETE_CHILD

 

     NT AUTHORITY\SYSTEM:(OI)(CI)F 

     BUILTIN\Администраторы:(OI)(CI)F 

     BUILTIN\Пользователи:(OI)(CI)(специальный доступ:)



                                  READ_CONTROL

                                  SYNCHRONIZE

                                  FILE_GENERIC_READ

                                  FILE_GENERIC_WRITE

                                  FILE_READ_DATA

                                  FILE_WRITE_DATA

                                  FILE_APPEND_DATA

                                  FILE_READ_EA

                                  FILE_WRITE_EA

                                  FILE_READ_ATTRIBUTES

                                  FILE_WRITE_ATTRIBUTES

aVitaliy, запрет для группы Пользователи действует и на администраторов.
Дело в том, что группа Пользователи по умолчанию содержит встроенные идентификаторы:

NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку

Так и должно быть.
При этом любая учетная запись, совершившая интерактивный вход в систему, автоматически получает принадлежность к группе.

Использование Deny нежелательно, лучше манипулировать разрешениями, а не запретами.

Petya V4sechkin, если дополнительно потом расшарить эту папку, то почему пользователи из группы "Администраторы" обращаясь к этой расшаренной папке по сети - поподают под ограничения, которые я задал для группы "Все" или "Сеть", при этом если не добавлять эти группы на вкладке "Безопасность", тогда по сети вообще Админы не могут подключаться к этой расшаренной папке?

aVitaliy, администраторы и в группу "Все" входят, как нетрудно догадаться.

Цитата:

Цитата Petya V4sechkin

администраторы и в группу "Все" входят, как нетрудно догадаться. »

Да понятно, но вот Локально на том же самом компе, если вместо группы "Пользователи" поставить группу "Все" и не выставлять Deny, то работает правильно, Админы имеют все полные права, а Пользователи только часть, которые я указал для группы "Все", а вот по сети почему это не срабатывает? Админы по сети обращаясь к расшаренной папке обладают правами указанными для группы "Все"?