Establezca permisos de Windows para que los miembros del grupo puedan editar y otros solo puedan leer y ejecutar

0

Estoy en Windows 10.0.16299 Pro. Tengo una carpeta particular que contiene archivos de script. Quiero que todos los usuarios puedan leerlos y ejecutarlos. Además, quiero que los miembros de un grupo local en particular puedan editarlos en el lugar sin tener que autenticarse (o incluso realizar cualquier otra acción especial) cada vez. En principio, el "grupo local particular" podría ser cualquier grupo arbitrario creado con el propósito. Para mi aplicación actual, la opción más natural sería Administradores, pero podría usar otra si ese grupo específico tiene un comportamiento especial que complica lo que estoy tratando de hacer. Básicamente, estoy buscando un comportamiento análogo a lo que obtienes después de establecer rwxrwxr-xpermisos en un archivo en un sistema POSIX.

Seguí el procedimiento a continuación y los permisos terminaron viéndose en teoría. Sin embargo, cuando yo (como miembro registrado del grupo Administradores) voy a guardar las ediciones en uno de los archivos, el editor me dice que no tengo permiso.

Esto es lo que hice. Hice clic derecho en la carpeta, seleccioné "Propiedades" y fui a la pestaña "Seguridad", luego hice clic en el botón "Avanzado". Hice clic en "Desactivar herencia" y elegí convertir los permisos heredados existentes en permisos explícitos. Luego edité los permisos y terminaron pareciéndose a la siguiente captura de pantalla:

captura de pantalla de propiedades-> seguridad-> panel avanzado para la carpeta adjunta

Para los propios archivos de script, esto automáticamente hace que el panel equivalente se vea igual que el anterior, excepto que la herencia todavía está habilitada y la columna "Heredado de" muestra el nombre de la carpeta adjunta. Todo eso me parece teóricamente correcto. ¿Por qué no puedo, como miembro del grupo designado, modificar el contenido de los archivos?

windows permissions file-permissions jez
fuente
Aunque puede ser miembro de Snap08 \ Administradores, cuando inicia sesión en Snap08, tiene un conjunto de permisos que no incluyen la membresía en ese grupo. Siempre que necesite hacer algo que requiera membresía en ese grupo, debe elevarse temporalmente. Ya sea iniciando explícitamente el programa utilizando la opción "Ejecutar como administrador", o haciendo que el programa detecte lo que está tratando de hacer, y luego abriendo un indicador de UAC. Consulte en.wikipedia.org/wiki/User_Account_Control para obtener más información sobre este concepto, denominado Control de cuentas de usuario.
Doug Deden
@DougDeden gracias. ¿Parece que este es un comportamiento particular que es específico del grupo llamado "Administradores"? En ese caso, ¿se puede solucionar mi problema si creo otro grupo con un nombre más arbitrario, le agrego todos los administradores actuales y le doy permiso de escritura a ese grupo? ¿O este principio, de no obtener los privilegios de su grupo hasta que haga algo especial para solicitarlos específicamente, se aplica a todos los grupos?
jez
@jez - No; Se ejecutará un proceso con los permisos más bajos posibles hasta que estén elevados. Absolutamente NO se limita solo al grupo de usuarios Administrador. Si desea que un usuario pueda editar un archivo sin una solicitud de elevación, debe elevar los permisos del editor, es decir, modificar el archivo. Esto, por supuesto, dará como resultado un solo aviso para elevar los permisos que no se pueden evitar sin desactivar UAC por completo. Si deshabilita UAC en Windows 10, deshabilita TODAS las aplicaciones UWP, incluida la aplicación Configuración.
Ramhound
@Ramhound Gracias. Eso significaría que simplemente no hay forma de emular el rwxrwxr-xcomportamiento en Windows (al menos no sin efectos secundarios en todo el sistema). Dada toda la complejidad añadida del sistema de permisos de Windows, es sorprendente escuchar eso.
jez
@Ramhound, ¿cuál sería el procedimiento para "elevar" sus permisos a los de un grupo no administrativo? En la configuración de uac solo veo mención de privilegios de administrador.
jez

Respuestas:

0

OK, lo que funcionó para mí fue evitar usar el grupo de Administradores para este propósito, y en su lugar crear un grupo local diferente (por ejemplo, "Desarrolladores"). Le di permiso al grupo de Desarrolladores para escribir un archivo, y cualquier miembro de ese grupo podría editar el archivo mientras que otros no. No hubo un paso especial de "elevación" que los miembros de los Desarrolladores tuvieran que realizar cada vez que quisieran editar el archivo, mientras que si intentaba usar el grupo de Administradores para el mismo propósito (esto es contrario a mi mejor comprensión de los comentarios encima).

jez
fuente