Deny Delete i.c.m. Office programma's.

Met DENY DELETE en DENY DELETE FILES AND SUBFOLDERS kun je nog steeds bestanden bewerken.

Kun je aangeven wat de bedoeling van deze instructie is? Word- en Excel-documenten zijn doorgaans documenten die aan verandering onderhevig zijn c.q. meermaals opgeslagen worden. Kun je niet beter de standaard rechten CREATOR OWNER FULL CONTROL laten zodat gebruikers hun eigen documenten kunnen plaatsen en bewerken, aangevuld met shadow copies om terug te kunnen kijken?

Is er een specifieke reden om dit met deny rechten in te richten? Deny dien je namelijk zoveel mogelijk te vermijden (best practices zijn er niet voor niets), een ontbrekende "allow" permissie is namelijk al voldoende.

NB : als je creator/owner wel toestaat om files te verwijderen dan zal het waarschijnlijk wel werken (en er is meestal geen reden te bedenken waarom de creator/owner van een file deze niet mag verwijderen).

[ Voor 32% gewijzigd door Killah_Priest op 18-04-2018 18:47 ]

nescafe schreef op woensdag 18 april 2018 @ 11:09:
Met DENY DELETE en DENY DELETE FILES AND SUBFOLDERS kun je nog steeds bestanden bewerken.

Zie:

Verwijderd schreef op woensdag 18 april 2018 @ 10:37:
Dit wordt veroorzaakt doordat deze programma's eerst een tijdelijk bestand aanmaken en vervolgens deze willen renamen/verwijderen, maar dat niet mogen doen.

@Jazzy: Betreft de eerste zin: "Momenteel probeer ik een share in te richten waarbij het verwijderen en bewerken van bestanden verboden is. Daarvoor heb ik de NTFS rechten DENY DELETE en DENY DELETE FILES AND SUBFOLDERS ingesteld.".

Met DENY DELETE wordt niet voldaan aan de voorwaarde "[..] bewerken van bestanden verboden [..]". Je kunt het bestand namelijk nog steeds bewerken: met een andere editor of d.m.v. het kopiëren (en overschrijven) van een gelijknamig bestand naar deze map.

Zoals @Killah_Priest aangeeft is DENY een van de laatste modifier die je op NTFS-niveau wilt gebruiken (er verschijnt niet voor niets een waarschuwingsdialoog bij het toepassen van deze permissie). Daarom bestaat mijn post uit twee delen: aangeven waarom de huidige set permissies niet voldoet en aangeven wat best practice is.

Waarom maak je de share niet read only? Dan mogen ze hem niet verwijderen of bewerken, probleem opgelost.

Slavy schreef op donderdag 19 april 2018 @ 07:51:
Waarom maak je de share niet read only? Dan mogen ze hem niet verwijderen of bewerken, probleem opgelost.

Dan kunnen ze er ook niks op plaatsen.

En waaeom niet je TEMP-folder naar een andere lokatie zetten? Ondanks dat dat mogelijk last gaat geven met linked/nested spul zoals Excel-files die aan elkaar gelinkt zijn, hou je ook geen temporary files op je shares als de client crasht/vastloopt.

Maar gezien het feit dat DENY op attribuut A altijd precedence neemt over alle sub-attributen, vraag ik me af of de inrichting/omgeving wel geschaald is naar de vraagstelling.

Het klinkt meer alsof je "beter" aan de gang kan met Sharepoint of Github bijvoorbeeld. Daar kan elke revisie blijven staan en alleen door 1 of 2 "god editor mensen" worden verwijderd op een later tijdstip.

Of je kan, maar ik zie het niet gebeuren, custom VSS opzetten maar dat is niet realtime maar dat is dat meteen weer je eigen uitdaging van over hoeveel wijzigingen per dag hebbben we het???

Verwijderd schreef op donderdag 19 april 2018 @ 07:46:
Noem het maar "Company Policy", van bepaalde projecten moet iedere stap te herleiden zijn. Alle drafts moeten worden opgeslagen en mogen niet bewerkt of verwijderd worden.

Als je op dit niveau wil kunnen auditen zou ik serieus een andere optie kiezen. Waarom gebruiken jullie geen sharepoint, maak een library aan met versioning ingericht en je hebt exact wat je wilt.

Als je Sharepoint vanuit O365 afneemt heb je ook legio opties mbt compliancy en zaken als dataloss prevention.

Volgens mij is het probleem ook dat Office op het moment van opslaan van een bestand het gelijk weer wil inlezen van die locatie.
Sharepoint met versioning lijkt mij idd de beste oplossing. Deny moet je idd altijd proberen te vermijden.

Verwijderd schreef op donderdag 19 april 2018 @ 07:46:
Noem het maar "Company Policy", van bepaalde projecten moet iedere stap te herleiden zijn. Alle drafts moeten worden opgeslagen en mogen niet bewerkt of verwijderd worden.

Voor zover jullie weten, zijn er toevallig nog alternatieven die ervoor kunnen zorgen dat je geen bestanden mag verwijderen?

Ofwel je moet kijken naar een document management systeem. Daar zou je oa sharepoint voor kunnne gebruiken, of een van de vele andere mogelijkheden.

Met een standaard file structuur ga je dit niet voor elkaar krijgen.