आप समूह के सदस्यों को शेयर में उप-फ़ोल्डर्स को हटाने से कैसे रोक सकते हैं

मैं 3 समूहों है Electricalgrp , Plumbinggrp , और Payrollgrp कि नाम के एक साझा नेटवर्क में उप फ़ोल्डरों के लिए उपयोग की जरूरत है डेटा ।

साझा किया गया फ़ोल्डर डेटा और उप-फ़ोल्डर:

 Data
  |
  +--Electrical
  +--Plumbing
  +--Payroll

मूल रूप से, यह वही है जिसे मैं पूरा करने की कोशिश कर रहा हूं:

1. डाटा शेयर केवल पढ़ने के लिए, किसी को भी की जड़ में फ़ाइलें या फ़ोल्डर बनाने नहीं करना चाहती प्रतिबंधित डाटा साझा करें।
2. Electricalgrp , बनाने के लिए हटा सकते हैं और में फ़ोल्डर और फ़ाइलों को संशोधित सक्षम होना चाहिए विद्युत फ़ोल्डर नहीं बल्कि हटा सकेंगे विद्युत फ़ोल्डर।
3. Plumbinggrp , बनाने के लिए हटा सकते हैं और में फ़ोल्डर और फ़ाइलों को संशोधित सक्षम होना चाहिए नलसाजी फ़ोल्डर नहीं बल्कि हटाने में सक्षम हो नलसाजी फ़ोल्डर।
4. Payrollgrp , बनाने के लिए हटा सकते हैं और में फ़ोल्डर और फ़ाइलों को संशोधित सक्षम होना चाहिए पेरोल फ़ोल्डर नहीं बल्कि हटाने में सक्षम हो पेरोल फ़ोल्डर।

मैंने निम्नलिखित शेयर अनुमतियों और NTFS सुरक्षा सेटिंग्स की कोशिश की है:

Share              Permissions                    NTFS Security     Result

Data               Full control,Read,Change       Read              Works fine

फ़ोल्डर NTFS सुरक्षा (अक्षम विरासत)

Folder        Group               NTFS Security                  Result

Electrical    Electricalgrp       Modify             NO GOOD, able to delete folder
Electrical    Plumbinggrp         Deny, Read         Works, denies access to folder
Electrical    Payrollgrp          Deny, Read         Works, denies access to folder

मैंने अन्य दो फ़ोल्डरों के साथ भी ऐसा ही किया, मैंने सिर्फ इनकार किया और संबंधित समूहों को संशोधित किया।

उस हिस्से को छोड़कर सब कुछ बहुत अच्छा काम करता है जो समूह को मुख्य फ़ोल्डर को हटाने से रोकता है जिसका वे सदस्य हैं। मैं इसे कैसे रोकूं?

आप अपने उपयोगकर्ताओं को अपने "टॉप-लेवल" सबफ़ोल्डर्स तक पहुंच संशोधित कर सकते हैं, लेकिन उन्हें निम्नलिखित दो अनुमति सेट लागू करके फ़ोल्डर को हटाने (और परिणामस्वरूप, नाम बदलने) से रोक सकते हैं:

आपके डेटा फ़ोल्डर के लिए:

• अनुमतियों की विरासत को रोकें
• अनुदान प्रणाली और प्रशासक पूर्ण नियंत्रण

• अपने सभी उपयोगकर्ताओं को निम्नलिखित अनुमतियाँ प्रदान करें, यह निर्दिष्ट करते हुए कि वे इस पर लागू होते हैं: केवल यह फ़ोल्डर :

  • ट्रैवर्स फ़ोल्डर / एक्सक्यूट फाइल
  • सूची फ़ोल्डर / डेटा पढ़ें
  • विशेषताएँ पढ़ें
  • विस्तारित गुण पढ़ें
  • पर पढ़े

ये अनुमति सभी उपयोगकर्ताओं को डेटा फ़ोल्डर तक पहुंच की अनुमति देती है। जब तक वे फ़ोल्डर की सामग्री देख सकते हैं, वे किसी भी सबफ़ोल्डर को नहीं खोल सकते हैं जब तक कि उन्हें आगे की अनुमति (नीचे) नहीं दी जाती है।

प्रत्येक "टॉप-लेवल" सबफ़ोल्डर के लिए:

वांछित पठन / लेखन समूह प्रदान करें:

• अनुमतियाँ संशोधित करें, निर्दिष्ट करें कि वे लागू होते हैं: सबफ़ोल्डर और केवल फाइलें
• निम्नलिखित अनुमतियाँ, निर्दिष्ट करती हैं कि वे इस पर लागू होते हैं: केवल यह फ़ोल्डर :
  • ट्रैवर्स फ़ोल्डर / एक्सक्यूट फाइल
  • सूची फ़ोल्डर / डेटा पढ़ें
  • विशेषताएँ पढ़ें
  • विस्तारित गुण पढ़ें
  • फ़ाइलें बनाएँ / डेटा लिखें
  • फ़ोल्डर बनाएँ / डेटा जोड़ें
  • पर पढ़े

ये अनुमतियाँ उपयोगकर्ताओं को उप-फ़ोल्डर में पारंपरिक संशोधित अनुमतियों का चयन करती हैं, दो अपवादों के साथ जो वे 1 नहीं कर सकते हैं) नाम बदलें, या 2) सबफ़ोल्डर को हटाएं।

अतिरिक्त फ़्लियर के लिए, एक्सेस बेस्ड एन्युमरेशन (यदि आपका हिस्सा विंडोज़ सर्वर पर है) को सक्षम करें और जब उपयोगकर्ता डेटा फ़ोल्डर खोलें, तो वे केवल सबफ़ोल्डर (ओं) को देख पाएंगे, जिस पर उन्हें आगे एक्सेस की अनुमति दी गई है।

आपका उत्तर, "इनहेरिट ओनली" अनुमतियों में निहित है, जो केवल सबफ़ोल्डर और फाइलों पर लागू होता है, न कि मूल कंटेनर में। SS64 द्वारा वर्णित अनुसार :

विरासत

Inherited folder permissions are given as:

 OI - Object inherit    - This folder and files. (no inheritance to subfolders)
 CI - Container inherit - This folder and subfolders.
 IO - Inherit only      - The ACE does not apply to the current file/directory

These can also be combined as folllows:
 (OI)(CI)      This folder, subfolders, and files.
 (OI)(CI)(IO)  Subfolders and files only. <<<!!!
     (CI)(IO)  Subfolders only.
 (OI)    (IO)  Files only.

इस स्क्रिप्ट को व्यवस्थापक के रूप में चलाएं, कृपया ध्यान दें कि यदि आपने व्यक्तिगत सबफ़ोल्डर, या 'डेटा' फ़ोल्डर में अनुमतियों को संशोधित किया है, तो यह सबसे अच्छा काम करता है यदि आप उन्हें हटा दें और स्क्रिप्ट को फ़ोल्डर बनाने दें:

@echo off

rem Define the 'Data' folder path, with/without quotation:
set DesFol="X:\Example Path\Data"
set DesFol=%DesFol:"=%

rem If groups are global (domain groups), set this value to domain BIOS name (e.g MYDOMAIN in MYDOMAIN\Electricalgrp), otherwise, leave it blank:
set Dom=

rem Creates or claims the access to the folder:
if exist "%DesFol%" (
 takeown /f "%DesFol%"
) else (
 md "%DesFol%"
)

rem Removes potential inheritance of "Everyone" access + makes sure Admins have full access to subfolders + makes :
icacls "%DesFol%" /inheritance:r /grant:r SYSTEM:(CI)(OI)F Administrators:(CI)(OI)F Users:R /q

rem Create 'Electrical' subfolder and inherit full access to "SUBFOLDERS AND FILES ONLY":
md "%DesFol%\Electrical"
icacls "%DesFol%\Electrical" /grant %Dom%\Electricalgrp:(X,GR,RC,RD,RA,REA,AD,WD) /q
icacls "%DesFol%\Electrical" /grant %Dom%\Electricalgrp:(CI)(OI)(IO)M /q

rem Create 'Plumbing' subfolder and inherit full access to "SUBFOLDERS AND FILES ONLY":
md "%DesFol%\Plumbing"
icacls "%DesFol%\Plumbing" /grant %Dom%\Plumbinggrp:(X,GR,RC,RD,RA,REA,AD,WD) /q
icacls "%DesFol%\Plumbing" /grant %Dom%\Plumbinggrp:(CI)(OI)(IO)M /q

rem Create 'Payroll' subfolder and inherit full access to "SUBFOLDERS AND FILES ONLY":
md "%DesFol%\Payroll"
icacls "%DesFol%\Payroll" /grant %Dom%\Payrollgrp:(X,GR,RC,RD,RA,REA,AD,WD) /q
icacls "%DesFol%\Payroll" /grant %Dom%\Payrollgrp:(CI)(OI)(IO)M /q

अपडेट करें:

सच कहूं, तो यह अब ज्यादातर ट्विस्ट द्वारा प्रदान किया गया समाधान है , मैंने अभी स्क्रिप्ट लिखी है। इसलिए वह सही जवाब देने वाला है।