10

文件服务器设置用户可修改保存禁止删除

 3 years ago
source link: https://www.opss.cn/7090.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

0x01 需求介绍

在实际生产环境中,为了数据文件的安全完整性,针对文件服务器权限设置,很多时候需要设置特定用户能上传修改文件内容,禁止删除文件的需求。

0x02 环境介绍

SERVER端:Windows Server 2012R2 同时模拟担任DC、DHCP与File 域名:yeah.local

IP:172.16.252.110

CLIENT端:Windows 7 模拟客户端电脑

IP:DHCP

USER:张三

0x03 操作步骤

1. 查看AD中有以下OU以及用户,财务部-用户组当前已加入 财务部文件夹-访问组(读写) 组中

881cd0fd555584e_1_post.png

2. 查看共享文件夹权限

889eeb580c981ff_1_post.png

3. 以 张三 为例,登录客户端,并在共享中新建测试文本文档

880e63fc51556f4_1_post.png

证明权限可以新增,再次测试文档删除,此处我们开启文档审核功能,从日志中查看文档删除

88fcea818bc5116_1_post.png

现在需求是不允许张三删除,只允许新增与保存权限,权限如何设置?

在OU中新建一个安全组,命名不允许删除组,加张三加入到这个用户组中

一般文件权限建议针对用户组去做,而不是直接在ntfs权限中添加用户,这样每次新增一个用户权限都需要应用权限很久,如果数据量大的话,应用权限都需要半天,且并不方便管理,针对用户组做文件夹权限控制的话,方便后续维护,如需新增用户,直接在AD中将用户加入到组中即可,客户端稍等几分钟即可生效或者直接注销登出账号再重新登录即可生效。

88dc51a2ef311be_1_post.png

885e9cfe5e11061_1_post.png

同时将张三从读写组中移除。

8885ed81187cfed_1_post.png

到共享文件夹中去设置高级权限。

8859fefcaa1e81d_1_post.png

添加刚新建的不可删除群组。

88183958e72fc60_1_post.png

88ec59cf212f210_1_post.png

在权限项目中去掉删除子文件夹及文件与删除权限前的对号。

88b1c21e5e613f3_1_post.png

禁用建立拥有者,并删除,否则假设张三新建的文件,依然可以删除。

88f227545b419ec_1_post.png

取消继承,选择将已继承权限转换为此对象显示权限

885e43cf56fc1d2_1_post.png

再删除新建拥有者用户权限,删除后如下

88ca751c3e5cdf3_1_post.png

验证:注销张三当前在客户端的登录,重新登录,发现验证可以新增与修改

88fa05cec133595_1_post.png

当删除文件的时候,出现弹窗报错

8883f515550dfce_1_post.png

到此,就达到了可新建,修改文件,无法删除的需求。但是,出现一个问题,每次直接新建文件的时候无法重命名,也就是没有此处的修改权限,但是如果给到修改权限了,就又可以删除文件,暂时也没想到什么好的办法来解决,只能要求用户丢文件到服务器的时候先在本机修改好文件名。

88e823c31adef15_1_post.png

当修改权限打上的时候

8815fff6ea5c37d_1_post.png

88255b4d1e7c1ef_1_post.png

查了半天,发现当前的功能暂时无法实现,需要额外再新增服务,好像ADRMS可以做到这个具体的功能,暂时不研究。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK