NTFSで、削除ではなく名前変更のアクセス許可を付与することはできますか?
従業員が契約をスキャンするためのフォルダがあります。スキャンした後、さらに処理できるように、規則に従って名前を変更することになっています。最近のインシデントに対応して、これらのフォルダーはセキュリティがロックされており(書き込みは許可されていますが、変更、アクセス許可は付与されていません)、ファイルの名前を変更できません。
私がやろうとしていることを達成するための技術的な方法はありますか?私が読んだことから、これは可能ではないと思います。
そうでない場合は、回避策を提案できますか? 1つの可能性は、スキャンされるファイルの名前を設定することです。もう1つは、管理者に信頼できる人に名前を変更するための十分なアクセス許可を与えることです。
どうやら名前の変更には削除権限が必要です。または、必要なフォルダに配置する前にファイルの名前を変更することはできますか?
別のアイデア-おそらく、適切な権限を持つサーバーでスケジュールタスクとして実行できるファイルの名前を適切に変更するバッチジョブを実行できます。
NTFSファイルのアクセス許可を使用するだけではありません。
コンピュータの起動時に開始されるサービスとして実行されるプログラムを作成できます。このサービスは、ファイルの削除と作成(つまりファイル名の変更)が許可されているアカウントで実行されます。
次に、作成したサービスを呼び出してファイルの名前変更を実行する小さなプログラムを作成します。そのプログラムは、ファイルを右クリックすると、エクスプローラのコンテキストメニューに「特権付きの名前変更」として表示される可能性があります。
回答としてコメントを書かせてください。 (Start-FileSystemWatcher from PowerShellPack )を使用して、特定の場所にある新しいファイルを監視し、それらを従業員がアクセスできない場所にハードリンクする常駐PowerShellスクリプトを記述できます。あなたの最大の懸念は、データが二度と削除されないことです。そのため、名前の変更に必要なDelete ACEを提供しながら、データを削除できます。ハードリンクのある「バックアップ」場所で、暗号化に基づいてインデックスを保持し(SHA1が思い浮かびます)、重複を避けることができます。もちろん、この複雑さは、ニーズに合わせてさらに上げることができます。
もちろん、そのようなPowerShellスクリプトは、名前変更タスク自体を引き継ぐことができます。ルールの自動化のしやすさに依存します。