none
NTFS文件访问控制权限防删除权限设置问题 RRS feed

  • 问题

  • 文件共享虽然通过在安全设置里把“删除文件夹/文件”和“删除”权限剔除,可以防止文件被用户恶意/无意删除。

    但是不管用户有意还是无意,只要写入权限,把文件内容一清空,保存,什么数据都没了。

    所以为了防止数据丢失,根据NTFS权限设置,应该除了不给”删除“权限之外,”写入“权限的子权限”创建文件夹/附加数据”的权限也不能给。

    这样一来,文件放入共享里后就万无一失了,任何进一步的修改都不能生效。

    那么,假设:文件共享里有个文件,是一个类似于样本的文件(做好了格式),第一个用户只需要在这固定的格式上写入数据另存成自己的文件,然后交由下一个用户继续这个编辑过的文件写入其他的数据再另存成另外一个文件,类似于生产中流水线的操作一般。由于每个用户生成了自己的文件后将不能再次修改(或者被别人恶意修改),那么下一个用户从上一个用户接到的文件肯定是没被修改过的,如果中间环节出现了错误,就可以追溯到具体那个用户身上出了问题,避免前一个用户说是下一个用户修改了他的数据或者下一个用户说是上一个用户的错导致的互相扯皮不认账的问题。

    理论上,只给”写入“的子权限”创建文件/写入数据“即可。但在实际测试中,其他文件保存机制如何暂时不说,至少Office文件,这类文件在保存和另存时,都会在同一目录下创建临时的tmp文件来进行数据交换合并来达到保存文件的目的,由于权限设置,创建了tmp临时文件,可是又不能往里面附加数据,然后要另存的文件创建了也无法附加数据。导致文件无法正常被另存,而产生了1个Office文件和1个tmp文件,都是0字节的空文件。

    所以折衷的方法就是,把共享中的文件复制到本地来编辑另存后,再放进文件共享里。

    但用户端却不愿意这么做了,这一来一去,多麻烦。

    在测试中,有个软件就工作得很正常,直接在文件共享上编辑源文件,然后直接另存在同一目录下(在另存时没产生tmp文件)。

    最后得出结论:如果在另存时需要创建临时tmp文件做数据交换合并的,都不能正常另存。

    既然有个软件能正常工作,

    要么是该软件早就意识到了这个权限问题(可是该软件的另一个模块却也会在文件共享目录里创建临时文件,所以这个说不通?)

    要么就是,应该可以避免这些临时tmp文件在文件共享目录下创建,而是通过本地合并数据另存后再放到文件共享里。

    那么,谁能解答下这个问题呢?

    问题就是,在文件夹只给“创建文件/写入数据“,不给”创建文件夹/附加数据“,不给”修改“,不给”删除"权限情况下,直接编辑文件共享里的文件并能正常另存在同一目录下?

    2012年9月28日 14:12

答案

  • 您好!                         

    非常抱歉,根据我的研究,由于系统设计的原因,我们难以实现对于文件夹您希望的操作。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年10月5日 8:17
    版主
  • 目前微软的文件服务器还没能做到这详细的控制。只能把人员的权限尽量控制到最小,你也可以结合RMS做进一步的控管,最好呢,还是多做数据备份,免得数据丢失找不回来,

    如果没有备份设备的话,起码把微软就自带的 卷影 功能给开开吧

    2012年10月8日 8:22

全部回复

  • 您好!                         

    非常抱歉,根据我的研究,由于系统设计的原因,我们难以实现对于文件夹您希望的操作。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手

    2012年10月5日 8:17
    版主
  • 您好!                         

    非常抱歉,根据我的研究,由于系统设计的原因,我们难以实现对于文件夹您希望的操作。

    希望我的回答对您有所帮助,如果您还有什么问题,请您再和我们联系。


    如果您对我们的论坛在线支持服务有任何的意见或建议,请通过邮件告诉我们。
    Description: Description: TechNet 论坛好帮手立刻免费下载  TechNet 论坛好帮手


    感谢回答,那请问,微软的文件服务器如何防止文件被恶意删除和恶意清空、覆盖数据?
    2012年10月8日 1:01
  • 目前微软的文件服务器还没能做到这详细的控制。只能把人员的权限尽量控制到最小,你也可以结合RMS做进一步的控管,最好呢,还是多做数据备份,免得数据丢失找不回来,

    如果没有备份设备的话,起码把微软就自带的 卷影 功能给开开吧

    2012年10月8日 8:22