Всем привет.
Подскажите плиз по косякам с правами.
Создаю в корне системного диска папку и файл под админом.
Затем под пользователем удаляю файл - не удаляется, а вот папка удаляется без проблем, хотя права на папку и файл вроде стаятся одинаковые. Пользователь только в группе Пользователи. Скрины прилагаю.
Спасибо заранее.

забыл - Админ состоит только в группе Администраторы.

Лео_не_помню@fb, см. права группы Прошедшие проверку.

Vadikan, собственно Прошедшие проверку имеют одинаковые права для папки и файла
при этом файл даже переименовать не могу, а папку и переименовать и удалить - без проблем

Лео_не_помню@fb, опишите свою задачу лучше (настройка прав задачей не является, это попытка решить какую-то задачу).

Vadikan,
Не хочу сидеть в оси под админом, что в никсах вообще запрещено идеологией никсов. Ну да ладно речь не о никсах.
Хочу сидеть под юзером и не давать кому попало админских прав, но если Пользователь может удалять папки администратора то это оч серьёзная проблема.
Задача - безопасность, если это не шибко громко звучит. В любом случае админские папки не должны удаляться пользователями.

Может где-то груповые или другие политики крутить ?

Лео_не_помню@fb, отлично, есть пространство для ликбеза :)

1. Благодаря UAC, вы и так работаете с обычной учетной записью (http://www.outsidethebox.ms/10034/).
2. Вы можете сидеть под юзером и выполнять задачи от имени администратора, просто у вас не будет автоматического повышения в панели управления (теряете в удобстве).
3. Пользователь не может удалять папки администратора и папки других пользователей. Создавайте их в профиле, а не в корне диска → не будет таких проблем → не надо будет их решать

Но если вы настаиваете на создании в корне, выполните от имени администратора (http://www.outsidethebox.ms/10629/#runasadmin):

icacls C:\folder /setintegritylevel high
Ее смысл раскрывает вопрос викторины Запрет на изменение файла (http://www.outsidethebox.ms/14318/#_Toc343199595) и статья Уровни целостности в Windows (http://www.outsidethebox.ms/12167/)

Vadikan,
спасибо за ссылки - поизучаю, .... это конечно всё весело: викторины, обходы стандартных путей ... , но любые права на папку для того и ставятся, что бы разграничить действия над ней для разных пользователей и если папка создаётся админом, а юзером удаляется, значит что-то не так и я хочу это починить, а не закрыть на это глаза. Или может быть у кого-то ещё папки админа удаляются юзерами ? о_О

Но если вы настаиваете на создании в корне, выполните от имени администратора:
Код: Выделить весь код
icacls C:\folder /setintegritylevel high [/post]
я так понима. это решит проблему с данной папкой, но не делать же это с каждой папкой , создаваемой админом о_О

если папка создаётся админом, а юзером удаляется, значит что-то не так и я хочу это починить »
Папка админа - это папка в профиле админа, а папка созданная админом в корне диска - это общая папка, так что чинить тут нечего.

Blast, я не писал что это папка админа, а папка созданная админом.

В Windows XP юзер не может удалять папки созданные админом, ибо последние принадлежат админу.

Хотите сказать, что у вас так же ведёт себя ось и юзер может удалять папки, у которых владелец админ? ))

ок...
Папка созданная админом вне его профиля (и системного диска?), является общей для пользователей компьютера. Пользователи, не входящие в группу Администраторы, могут управлять такими папками. Так понятнее? :)

Лео_не_помню@fb, если вы хотите самостоятельно раздавать права на папки в корне диска, сидите и ковыряйте ACL - к утру разберетесь (возможно, даже успеете переставить систему :)

Blast, с каких пор права папок в NTFS в Windows XP и Windows 8.1 работают по разному ?

Лео_не_помню@fb, вы рассуждаете тут о безопасности, и в то же время создаете в корне диска папку, управлять которой (Modify) могут все прошедшие проверку пользователи. Зачем?

Если вам нужно, чтобы:

все могли полноценно работать, создайте в %public%
никто не мог зайти, создайте в профиле
у всех был доступ, но не управление, создайте в Windows

Заметьте, что ни в одном из этих случаев не нужно раздавать права вообще! Но нет, вы настаиваете на своем - хочу в корне. Ок, вот вам решение одной командой. Но и это вас не устраивает. Вы только обещаете поизучать материалы, а на деле предпочитаете поспорить на тему нюансов прав, о которых вы только что узнали :)

Dear Leo,

1. Операция удаления производится не с самим объектом, а его родительским каталогом. Проверяйте разрешения на вышестоящей папке.

2. Атрибут "Владелец объекта" не имеет прямого отношения к разрешениям доступа на него. Если администратор создал папку, это вовсе не означает, что только он имеет право её удалить. Это определяется наследуемыми разрешениями по умолчанию, если вы разрешения не исправляли (а следовало бы).

3. Создавать папки для документов в корне системного диска — криминал. Системный диск предназначен для системы. Я всегда исправляю разрешения на корневой папке, ликвидируя все разрешения записи для пользователей, остаётся только Administrators, SYSTEM: FC, Users: Read/Execute.

4. "Благодаря UAC, вы и так работаете с обычной учетной записью" - это не так. UAC никогда не был и не является security boundary: http://blogs.msdn.com/b/e7/archive/2009/02/05/update-on-uac.aspx . Только невыдача членства в группе Администраторов является security boundary.

"Благодаря UAC, вы и так работаете с обычной учетной записью" - это не так. »
Согласен, что с точки зрения чистоты терминологии, моя формулировка технически неверна, если придираться к ней. Однако с включенным UAC вы получате токен обычного пользователя и с его правами запускаете процессы, если нет ручного или автоматического повышения.

1. Операция удаления производится не с самим объектом, а его родительским каталогом. Проверяйте разрешения на вышестоящей папке. »
так ведь корень диска.... разве чистема при установке не даёт правильные права на системный диск ?

Это определяется наследуемыми разрешениями по умолчанию, если вы разрешения не исправляли (а следовало бы).
то есть права на диск неверные ?

Создавать папки для документов в корне системного диска — криминал.
это лишь эксперимент, понятно что там нет документов
"Благодаря UAC »
я её не юзаю, больно надоедлива
Забавно что в никсах нет ничего подобного

На мой взгляд, дефолтные разрешения на корень диска некорректны. На мой взгляд, не следует разрешать обычным пользователям запись в корень системного диска.
И этот взгляд не совпадает с мнением большинства администраторов/пользователей.

На мой взгляд, не следует разрешать обычным пользователям запись в корень системного диска.
И этот взгляд не совпадает с мнением большинства администраторов/пользователей »
Не совпадает с мнением большинства пользователей, большинство же администраторов, я надеюсь, солидарны с таким мнением :)
Забавно что в никсах нет ничего подобного »Нет конечно, там просто нужно ходить под рутом для действий с настройками системы. Забавно, что это не надоедает в никсах, но надоедает упрощённый вариант в Windows.

На мой взгляд, не следует разрешать обычным пользователям запись в корень системного диска. »
Обоснуйте с точки зрения безопасности (темы обсуждения)

Цитата WindowsNT:
"Благодаря UAC »
я её не юзаю, больно надоедлива »
А взамен что юзаете? Головной мозг (http://www.outsidethebox.ms/16582/)? :)