如果您希望在局域网中让其他用户访问某个文件夹,但需严格限制其只能查看而不能修改或删除内容,则必须协同配置共享权限与NTFS权限。以下是解决此问题的步骤:
一、通过高级共享设置网络层读写权限
该方法定义用户通过网络路径(如\计算机名共享名)访问时的基础能力,仅控制“读取”或“更改”级别,不涉及文件系统深层操作。
1、右键单击目标文件夹,选择“属性”。
2、切换到“共享”选项卡,点击“高级共享”按钮。
3、勾选“共享此文件夹”,在“共享名”栏中输入简洁名称(如“PublicDocs”)。
4、点击“权限”按钮,在弹出窗口中点击“添加”,输入目标用户名(如“User02”)或组名(如“ProjectTeam”)。
5、选中该用户后,在下方“允许”列中仅勾选“读取”,确保“更改”和“完全控制”处于未勾选状态。
6、点击“确定”逐级退出,完成共享权限配置。
二、同步配置NTFS权限以实现精确控制
NTFS权限作用于文件系统本身,决定用户对文件的实际操作能力;即使共享权限设为“读取”,若NTFS权限允许“写入”,仍可能被绕过。最终生效权限为二者交集。
1、仍在该文件夹“属性”窗口中,切换至“安全”选项卡。
2、点击“编辑”,再点击“添加”,在弹出框中输入同一用户名或组名(如“User02”)。
3、选中该用户,在“允许”列中仅勾选“读取和执行”“列出文件夹内容”“读取”,其余项(如“写入”“修改”“完全控制”)全部取消勾选。
4、点击“高级”,选中该用户条目后点击“编辑”,勾选“拒绝”下的“删除”和“删除子文件夹及文件”,并将“应用于”设为“此文件夹、子文件夹和文件”。
5、点击“确定”保存所有设置。
三、关闭密码保护共享并启用网络发现
若其他设备无法发现共享或反复提示凭据,通常因网络基础服务未就绪;关闭密码保护可避免未设密码账户被拦截,启用网络发现则保障共享资源可被探测。
1、打开“控制面板”,进入“网络和 Internet” → “网络和共享中心”。
2、点击左侧“更改高级共享设置”。
3、在当前网络配置(如“专用”)下,确认“启用网络发现”和“启用文件和打印机共享”已开启。
4、滚动至“所有网络”部分,将“密码保护的共享”设为“关闭”。
5、点击“保存更改”。
四、移除Everyone并添加指定账户进行最小权限分配
默认添加“Everyone”会扩大暴露面,违反最小权限原则;应显式添加具体用户或组,并确保其本地账户已设置密码,否则网络身份验证将失败。
1、返回文件夹“属性”→“共享”→“高级共享”→“权限”。
2、选中“Everyone”,点击“删除”按钮将其移除。
3、点击“添加”,输入实际需要授权的用户名(如“User02”),点击“确定”。
4、为该用户在“允许”列中仅保留“读取”,其他权限全部清空。
5、切换至“安全”选项卡,同样移除“Everyone”,仅保留该用户,并按前述NTFS规则配置其权限。
五、使用PowerShell批量应用只读NTFS策略
适用于多层级文件夹结构,可一次性锁定整个目录树的读取行为,避免手动逐层设置遗漏,且支持拒绝删除策略的强制继承。
1、以管理员身份运行Windows PowerShell。
2、执行命令:icacls “D:SharedFolder” /grant:r “User02:(RX)” /t,其中RX表示读取+执行权限。
3、执行命令:icacls “D:SharedFolder” /deny “User02:(DE,DC)” /t,其中DE为删除、DC为删除子文件夹及文件。
4、执行命令:icacls “D:SharedFolder” /inheritance:r /t,清除原有继承权限,确保策略纯净生效。
评论(0)