Salut,
Voici ma question : Est-il possible de bloquer la suppression d'un fichier à tous les utilisateurs d'un ordinateur (y compris les membres du groupe local Administrateurs) sauf le compte système local (LocalSystem) ?
Je suis sur un système de fichier NTFS, et j'ai fait pas mal de test en modifiant les ACL, ACE et Owner du fichier, mais rien n'y fait.
J'ai essayé les choses suivantes :
- Mettre dans les ACL uniquement le compte système avec toutes les permissions en laissant comme propriétaire le groupe Administrateur Local
- Mettre dans les ACL uniquement le compte système avec toutes les permissions en mettant comme propriétaire le compte Système Local
Mais dans les deux cas, je peux quand même supprimer mon fichier en étant un 'simple' administrateur ? (je ne peux pas le déplacer, ni le voir, ni le renommer, même pas le mettre dans la corbeille, mais pour le supprimer, pas de problème ...)
Est-ce que je dois ajouter dans mon ACL, une entrée pour explicitement refuser l'accès au fichier ?
Si oui sur quel SID dois-je faire la règle ? Si je mets le groupe Administrateurs ça risque de bloquer LocalSystem ... :s
Est-ce que je dois faire une entrée pour chaque compte Administrateur enregistré sur le poste ?
Avez-vous des idées ?
PS: j'utilise les fonctions de l'API Win32 de base pour la gestion des droits (SetFileSecurity, SetSecurityDescriptorDacl et cie...)
---------------
By bob.
