Как запретить пользователям удалять файлы/папки в Windows 10?

Question

[pavelstruk]

Всем привет. Есть необходимость запретить пользователям на отдельной машине удалять файлы и папки, в т.ч. числе из домашней папки.
Использовать рдп, киоск-мод и т.п. не вариант (хочется закрыть именно эту дыру), есть домен, т.е. на компьютере будут появляться ± 2-3 учетки (т.е. ходить по каждой машине и вручную настраивать права на домашнюю папку не хочется), отключение наследований для папки "Пользователи" ничем хорошим не закончилось и думаю не закончится, есть другие варианты?
P.S. запрет на удаление файлов для пользователей не должен влиять на временные файлы, создаваемые различным софтом.

Comments

[Yan]

есть варик во вкладке безопасность с запретом удаления
минус только, что пользователь не сможет перезаписать файл/перенести
но может скопировать внутрь папки все что захочет

устроит?

кстати при создании временных файлов, как они должны удаляться?
запрет удаления отдельно от запрета изменения не получается (у меня)
некоторые проги обходят запрет на изменение (мб с админкими права запускаются)
проверил бы, да у меня 2 группы в одной учетке. менять что-то лень

но мне это стало интересно, вечерком займусь

UPD
а вот и ответ на то, что не получается перезаписать файл сразу

К сожалению, многие программы (MS Office, в том числе) не сохраняют отредактированный файл в существующий, а переименовывают существующий файл и создают новый. Поэтому на практике обычно не получается запретить удаление, оставив возможность редактирования.

но говорят это только с MS офисом

Вам он нужен там?
еще цитата

Однако учитывайте, что в такую папку вы, по сути, сможете только копировать файлы. Приложения при создании файлов используют свою собственную логику, например, создают пустой файл, далее записывают в него данные, возможно, создают временный файл, а затем переименовывают его... Иными словами, выполняют более сложные действия, которые только выглядят как создание файла в папке. Естественно, показанные разрешения будут недостаточными для перечисленных действий.

даже если придется ходить и редактировать каждую учетку, проблема описанная выше останется

Я еще одно извращение придумал:
ПЕреносим файлы в директорию N, создаем жесткие ссылки
при удалении удалится не файл, а линк
при добавлении нового файла, можно запилить скрипт, который будет мониторить папку, перемещать файл в директорию N и создавать линк в папке
С переименованием тоже беда, а если файл занят другим процессом в то же время?
Короче реализация будет мягко говоря трудновата

Но зачем нам бубен, когда есть бекап?
Или теневая копия

Answer 1

[#]

P.S. запрет на удаление файлов для пользователей не должен влиять на временные файлы, создаваемые различным софтом.

это значит что вы можете выборочно манипулировать правами только внутри папки профиля пользователя и только пользовательскими папками. к примеру в вин 10 их порядка 7 (Favorites собственность IE, Links и Searches - Провоника, OneDrive - ну тут имя за себя говорит (но я его просто деинсталирую сразу ;) source создает VS, это специфика, VirtualBox VMs тем более)

spoiler

хорошая новость - изменения прав можно скриптовать, а скрипты назначать на старт сеанса пользователя доменными политиками (локальными тоже можно, но вроде вы говорите что есть домен). то есть полностью все автоматизировать. но это общий сценарий. подробности как по скриптованию изменения прав, так и по политикам logon/lpgoff скриптов - гугл в помощ, темы древние и избитые

ps не забудьте, что вам надо либо изменять владельца подконтрольных папок, что сомнительная затея. либо ставить явный запрет не только на удаление, но и на изменение прав доступа (что возможно не станет препятствием для грамотных пользователей, при наличии статуса владельца)

... по моему мнению это все это сомнительная затея. в чем цель? сохранность данных от "дурака"? так бекапить надо...

Comments

[Yan]

Про бэкап все верно.
Сразу же напросился такой ответ в голове

Answer 2

[АртемЪ]

Права админа отберите.
После чего настройте права на нужные папки.