0x01 需求介绍
在实际生产环境中,为了数据文件的安全完整性,针对文件服务器权限设置,很多时候需要设置特定用户能上传修改文件内容,禁止删除文件的需求。
0x02 环境介绍
SERVER端:Windows Server 2012R2 同时模拟担任DC、DHCP与File 域名:yeah.local
IP:172.16.252.110
CLIENT端:Windows 7 模拟客户端电脑
IP:DHCP
USER:张三
0x03 操作步骤
1. 查看AD中有以下OU以及用户,财务部-用户组当前已加入 财务部文件夹-访问组(读写) 组中
2. 查看共享文件夹权限
3. 以 张三 为例,登录客户端,并在共享中新建测试文本文档
证明权限可以新增,再次测试文档删除,此处我们开启文档审核功能,从日志中查看文档删除
现在需求是不允许张三删除,只允许新增与保存权限,权限如何设置?
在OU中新建一个安全组,命名不允许删除组,加张三加入到这个用户组中
一般文件权限建议针对用户组去做,而不是直接在ntfs权限中添加用户,这样每次新增一个用户权限都需要应用权限很久,如果数据量大的话,应用权限都需要半天,且并不方便管理,针对用户组做文件夹权限控制的话,方便后续维护,如需新增用户,直接在AD中将用户加入到组中即可,客户端稍等几分钟即可生效或者直接注销登出账号再重新登录即可生效。
同时将张三从读写组中移除。
到共享文件夹中去设置高级权限。
添加刚新建的不可删除群组。
在权限项目中去掉删除子文件夹及文件与删除权限前的对号。
禁用建立拥有者,并删除,否则假设张三新建的文件,依然可以删除。
取消继承,选择将已继承权限转换为此对象显示权限
再删除新建拥有者用户权限,删除后如下
验证:注销张三当前在客户端的登录,重新登录,发现验证可以新增与修改
当删除文件的时候,出现弹窗报错
到此,就达到了可新建,修改文件,无法删除的需求。但是,出现一个问题,每次直接新建文件的时候无法重命名,也就是没有此处的修改权限,但是如果给到修改权限了,就又可以删除文件,暂时也没想到什么好的办法来解决,只能要求用户丢文件到服务器的时候先在本机修改好文件名。
当修改权限打上的时候
查了半天,发现当前的功能暂时无法实现,需要额外再新增服务,好像ADRMS可以做到这个具体的功能,暂时不研究。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
