NTFS:ユーザーは権限なしでファイルを編集/削除できます
ファイルサーバーで非常に奇妙なNTFS権利現象が発生しましたが、間違いを見つけることができず、何時間も髪の毛を抜いています。何が足りないのですか?
私の目標は:
- Group-Aのユーザーは、新しいファイル/フォールドをフォルダーに書き込む(「ファイルを追加する」)ことができるはずです。また、新しく追加されたファイルを編集できる必要があります。
- 夜間、新しく追加されたファイルは、Group-Aによるさらなる編集/削除から「保護」する必要があります。ファイルを読み取る権利と新しいファイルを追加する権利はそのままにしておく必要があります。
これが私がしたことです:
- グループAを作成し、ユーザーを追加します
- グループA(F)ullにフォルダへのアクセスを許可します
- というスクリプトを作成します
- フォルダ内のファイルの継承ビットを削除します
- ファイルへの(F)ullアクセス、leavinf読み取り専用権限を削除します
問題は、私のユーザーがフルアクセス権を持っているかのようにファイルを編集および削除できることです。 「有効な権限」に編集する権利がない場合でも、編集する権利はあります。
スクリプトは正常に機能し、次のようになります。
icacls d:\folder\Bild1.jpg /inheritance:d
icacls d:\folder\Bild1.jpg /remove:g Group-A"
スクリプトが実行された後、file.jpgのNTFSアクセス許可は次のようになります(私には正しいように見えます): 
Icaclsの出力も同様です。
d:\folder>icacls Bild1.jpg
Bild1.jpg WM\DomainAdmin:(F)
WM\Domänen-Admins:(F)
WM\Group-A:(RX)
そのファイルの有効なアクセス許可タブには、まったく同じ(正しい)ものが表示されます。
親フォルダーのアクセス許可。ユーザーはここにファイルを追加できるはずです。次のようになります。
Artweger WM\Group-A:(I)(OI)(CI)(F)
WM\Domänen-Admins:(I)(OI)(CI)(F)
このユーザーがログオンすると(ドメインユーザーとグループAの2つのグループに属している)、ファイルbild1.jpgを編集、削除、名前変更、および移動できます。 これはどのように可能ですか?NTFSは私の輝かしい計画で何をしますか?
私は2か月前に同様の問題を経験しました、 このスレッド はあなたに役立つかもしれません。
ダニエルが提案したように、最初に、これがすべてのファイルで発生するのか、ユーザーが所有するファイルのみで発生するのかを確認します(所有者を変更して、それがまだ持続するかどうかを確認します)。
次に、 他のスレッド で説明されているようにアクセス許可を設定しようとしますが、Windowsの詳細設定ペインを使用します(ボタン詳細右下隅にあります)および[共有]タブ(これがWindows Serverでどのように行われるかはわかりませんが、Solarisではこのように行われます)。基本的な考え方は次のとおりです(2番目のリンクされたスレッドからの引用):
所有者は、常にオブジェクトのACLを変更できます。 「Everyone:Modify」権限のみを許可する共有を使用すると、共有コンテンツでこれを防ぐことができます。これにより、共有レベルで変更ACL要求が「除外」されます。管理者がACLを変更できるようにする場合は、共有権限に「Storage Admins:FullControl」を追加するだけです。