Windows允许用户管理他们创建的文件夹的权限

Question

我有一个Windows2008MacFileserver服务R2 (SMB)客户端。我有五个文件夹:快乐，悲伤，孤独，臭和暴躁。除“快乐”和“悲伤”之外，所有文件夹都应公开给域用户，这些文件夹应仅限于“快乐和悲伤”安全组(Active )。我希望每个具有访问权限的人都能够创建文件夹和文件，但不能删除根共享。不过，它们应该能够删除共享中的文件和文件夹。此外，我希望文件和文件夹的创建者能够更改权限，以便他们可以将创建的文件夹限制为个人或组。权限的继承似乎使此任务更加困难。请协助。

Answer 1

您正在寻找的是相当可能的，但可用性是一个相当大的挑战。这一切都可以通过命令行调用来完成(在Windows上，您的Mac用户将不走运)，复杂程度各不相同，但GUI完全属于“高级”领域。

允许创建者所有者对创建的文件和目录做他们想做的任何事情，但不对顶级目录做任何事情：

icacls grumpy /grant *S-1-5-11:(Rx)             # Authenticated Users: RO top
icacls grumpy /grant *S-1-5-11:(io)(M)          # Grant Auth users Modify to subs
icacls grumpy /grant *S-1-3-0:(io)(oi)(ci)(f)   # Creator-Owner for new objs

这将创建一个不爽目录，通过身份验证的用户将无法删除Grumpy，但能够执行几乎任何低于该目录的操作，以及对他们实际创建的任何内容的任何操作。

受限制的组版本非常相似：

icacls happy /grant happy-people:(Rx)
icacls happy /grant happy-people:(io)(M)
icacls happy /grant *S-1-3-0:(io)(oi)(ci)(f)

(F)权限使用户能够做任何事情，包括修改访问列表。

至于您的请求的其余部分，这就是糟糕的用户因素发挥作用的地方。正如我所说的，这是可以做到的，但培训您的用户正确地做到这一点将是一个持续的挑战( Mac用户将倒霉)。

用户决定锁定他们为正确的人创建的某个文件夹：

icacls grumpy\Newsbits /inheritance:d
icacls grumpy\Newsbits /remove *S-1-5-11
icacls grumpy\Newsbits /grant grumpy-news:(oi)(ci)(M)

第一步是阻止继承。

第二步是删除授予其他人访问权限的权限。

第三步是将权利授予额外的组。

当您尝试在其中一个受限目录中执行此操作时，情况会变得非常糟糕。

icacls happy\mystuff\Newsbits /inheritance:d
icacls happy\mystuff\Newsbits /remove happy-people
icacls happy\mystuff\Newsbits /grant happy-news:(oi)(ci)(M)

同样的工作流程，但你的用户有一个问题:他们不能从“快乐”开始，然后向下浏览。他们必须直接访问happy\mystuff\Newsbits目录。碰巧，您可以使它工作，但它涉及修改mystuff目录上的ACL以允许传递。

icacls happy\mystuff /grant happy-news:(rd)

所有这些都可以通过Windows来完成，但是icacls使得记录它更加容易。

就像我说的，是可以做到的。但不是你所说的有用的东西。