Как запретить удаление папки, но дать доступ внутри?

Question

[Maten]

Всем привет!
Очень нужна помощь.

У меня есть сетевая папка M:\Public, и в ней лежат папки разных отделов — например: Accounting, Finance, HR, Front Office и т.д.
Все пользователи находятся в группе GRP-Users.

Хочу настроить так, чтобы:

Эти папки (например, Accounting) можно было видеть и открывать

Внутри них можно было работать — создавать, редактировать, удалять файлы и подпапки

Но нельзя было удалить саму папку отдела (например, Accounting)

И ещё — нельзя было сохранять файлы и папки рядом с ними, то есть в корневой папке M:\Public

Что пробовал:
Настраивал вручную через свойства папки (Security → Advanced)

Отключал наследование

Добавлял Deny на Delete, Delete subfolders and files

Применял права только к подэлементам (Subfolders and files only)

Пробовал PowerShell-скрипты через AddAccessRule() и Set-Acl()

Результаты:
Либо папка пропадает у пользователей

Либо внутри ничего нельзя редактировать

Либо всё работает, но папку можно удалить

Или вообще доступ полностью ломается

Я уже перепробовал всё, что смог найти, но ничего не помогает добиться нужного результата.

Если кто-то реально настраивал такую схему и может подсказать рабочее решение — буду очень благодарен!

Спасибо!

Comments

[SunTechnik]

Как всегда, важны детали.
С кого именно снимали на следование, на какую именно папку назначали права..

[Adamos]

SunTechnik,

С кого именно снимали на следование

Шикарная опечатка. Продайте ее сценаристам сериалов про ментов, они будут смеяться и плакать.

[SunTechnik]

Adamos, Мда уж, помог T4, что б его. Придется оставить этот позор для истории...

[Ziptar]

SunTechnik, ой ладно, я вообще иногда целое слово невпопад могу написать и не заметить, потому что мысль в момент написания улетела в другую сторону, а пальцы послушно последовали за мыслью. И никакие глюки т9 и иже с ними не нужны.

Answer 1

[Дмитрий]

Делается элементарно, отобрав права на удаление структурных папок. Т.е. нужно два правила в ACL: 1 - для самой папки и 2 - для файлов и подпапок.

Comments

[Maten]

Добрый день Дмитрий, благодарю за ответ, хотелось бы узнать вы скриптом делали? просто я еще джуниор в этой области я запрашивал код скрипта через ChatGPT но это не сработало

[Дмитрий]

Maten, сделай сначала руками. Потом, когда станет понятно что должно происходить, можно начинать скриптовать.

Answer 2

[Zerg89]

Одним и двумя правилами здесь не обойтись
Для корневой папки(public) настраивается только чтение и отключается наследование (через расширенные права доступа)
Для каждой из папок внутри настраивается нужный доступ чтение, запись, изменение прав и тд
Для автоматизации можно настроить на однй папке руками и запросить полученные права утилитой icacls, после чего распространить с помощью этой же утилиты на другой каталог
Кстати если пользователь входит в несколько групп и эти группы назначены на один контейнер можно столкнутся с проблемой применения то одних то других прав так что группу все лучше удалить