Разрешения NTFS для корневого общего ресурса, в котором находятся домашние каталоги Windows Server 2008 R2

9

Я использую вкладку «Профиль AD» для автоматического создания домашних каталогов \\server\home, чтобы разрешения создавались автоматически.

Какими должны быть разрешения NTFS для фактической папки, в которой создаются домашние каталоги ( \\server\home)?

Кроме того, разрешения общего доступа всегда имеют вид Every :: Full Access, поскольку я контролирую фактический доступ с разрешениями NTFS; это правильный метод?

windows permissions directory home-directory Gregg
источник

Ответы:

14

Вот что у меня в избранном для справки:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

  • ВЛАДЕЛЕЦ СОЗДАТЕЛЯ - Полный доступ (применяется только к подпапкам и файлам)
  • Система - Полный контроль (Применить к: этой папке, подпапкам и файлам)
  • Администраторы домена - Полный доступ (Применить к: этой папке, подпапкам и файлам)
  • Все - создание папки / добавление данных (применить только к этой папке)
  • Все - список папок / чтение данных (применить только к этой папке)
  • Все - Чтение атрибутов (Применить только к этой папке)
  • Все - Переместить папку / Выполнить файл (применить: только к этой папке)

Он также рекомендует установить разрешения для общего ресурса как:

  • Все - Полный контроль
Дэн
источник
6

Это задокументировано здесь:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx 

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Кроме того, необходимо отредактировать ACE для аутентифицированных пользователей, чтобы он действовал только для этой папки.

Грег Аскью
источник
2

Расширяя ответ @ Дана ...

Согласен, владелец Создателя, но я никогда не предоставляю FC пользователям. Это позволяет им устанавливать свои собственные DACL, которые, по моему опыту, приносят боль, когда нечетный продвинутый пользователь (читай «боль в ар-е») удаляет разрешения для SYSTEM, тем самым останавливая вам резервное копирование их файлов. обычно ограничивают пользователя данными для модификации (изменение на языке старой школы).

СИСТЕМА: ФК, да.

Администраторы домена: Нет. Укажите группу локальных администраторов сервера.

Все: почему? Лично бы никогда не использовал «Все», так как он включает в себя не прошедших проверку пользователей.

Поделитесь разрешениями - согласен. Они служат только для запутывания запросов доступа.

Саймон Кэтлин
источник
2
Это ответ на оригинальный вопрос или комментарий в ответ на @Dan? Я бы предложил сделать ваши рекомендации отдельным ответом на исходный вопрос. Если у вас есть комментарии к ответу @ Dan, сделайте их отдельно в качестве комментариев. Ваш ответ не будет представлен в хронологическом порядке, и он не должен зависеть от чьего-либо ответа для контекста.
Скайхок
1

Я согласен, что лучше контролировать доступ на уровне NTFS, чем на уровне общего ресурса, но независимо от того, предоставляете ли вы им полный доступ, пользователи всегда смогут устанавливать разрешения для файлов, которые они создают, потому что они тогда являются владельцами.

Если вы хотите запретить им изменять разрешения даже для принадлежащих им объектов, установите разрешения для общего ресурса «Изменить (для всех)» вместо «Полный».

Тогда вы могли бы также дать им Full (NTFS) в их собственном домашнем каталоге, чтобы было понятно, что происходит.

Тони Лезард
источник