[Sham]

Вот строчка...

cacls d:\test /e /g COMP\user:r & cacls d:\test /e /c /g COMP\user:w & cacls d:\test\* /e /t /p COMP\user:f

Только я не сообразил, как сделать так, чтобы создаваемые в этой папке файлы не наследовали разрешения самой папки (родителя), используя cacls. Получается, что юзер создаст там файл, и хрен удалит\переименует его. Это только через GUI видимо, или я не знаю...
Если узнаешь, сигнализируй

[Murindal]

2Sham
Проблема в том, что изначально папка D:\test пустая и использование подстановочного знака "*" ничего не даст! Так что юзер создавая подпапки и файлы удалить или изменить их уже не сможет, как ты и писал!
Щас ковыряю WMIC, вроде там можно это сделать.

P.S. Вопрос остается открытым!!!

[Sham]

Murindal
Тебе лучше виртуальный диск создавать на эту папу при входе (subst).
WMIC - геморрой, и по-моему ничего не даст. Но если получится, то пиши...

[Guyver]

to Murindal
В Windows XP (да и для w2000 подойдет, я думаю) для NTFS через вкладку Безопасность в свойствах папки/файла я могу подсказать как сделать, если надо. А программами я не пользуюсь, не вижу смысла.

[Vadikan]

Guyver
Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI

Цитата:

А программами я не пользуюсь, не вижу смысла.

Когда вам понадобится выставить права доступа на паре сотен машин, вы смысл сразу увидите

[Guyver]

Цитата:

Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI

Спасибо, учту на будущее. Впредь обещаю не лезть с глупыми советами...

[amel27]

Vadikan

Цитата:

Если автор темы задает вопрос про xcacls, то он наверняка знает как выставить права через GUI

Тем не менеее из содержания поста следует как раз обратное. Нельзя ограничить права на папку ROOT\TEST без изменения соответствующих прав на папку-контейнер (ROOT), в частности - права на переимонование и удаление TEST.

Murindal

Для выполнения требуемых условий потребуется создать как минимум три ACL:
1. ACL для корневой папки (просмотр), желательно без наследования
2. ACL для TEST (просмотр+создание) без наследования, тип "только для текущей папки"
3. ACL для TEST (RWD), тип наследования - "только для подпапок и файлов", т.е. исключая текущую.

Легко убедиться, что XCACLS поддерживает только три типа наследования: "только для файлов", "для этой папки и ее подпапок", "для этой папки, ее подпапок и файлов", т.е. для реализации задачи однозначно не подходит. Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT. Одно неудобство - INF файл содержит SID а не имя учетной записи, но думаю при желании его можно "обойти" применением соответствующих утилит типа GETSID.

[Vadikan]

amel27

Цитата:

Тем не менеее из содержания поста следует как раз обратное.

Я в детали первого поста не вникал... Я просто подумал, что человек просто должен знать как выставить права через GUI и что там можно сделать, если он месяц мучается с xcacls. Спасибо за исчерпывающий ответ

[Sham]

amel27

Цитата:

Я вижу единственный способ автоматизации задачи - создание шаблона безопасности (вручную или в оснастке MMC) с последующим применением его через SECEDIT

А вот здесь бы конкретики хотелось, если можно...