web-dev-qa-db-fra.com

Autorisations NTFS pour la part de racine qui abrite des annuaires à domicile Windows Server 2008 R2

J'utilise l'onglet Profile AD pour créer automatiquement des annuaires de maison à \\server\home, afin que les autorisations soient automatiquement créées.

Quelles sont les autorisations NTFS pour le dossier réel que les répertoires de domicile sont créés (\\server\home)?

En outre, les autorisations de partage sont toujours tout le monde :: Accès complet depuis que je contrôlais l'accès réel avec les autorisations NTFS; Est-ce la bonne méthode?

9
Gregg

Il est documenté ici:

https://blogs.technet.com/b/askds/archive/2008/06/30/Automatic-Creation-Of-User-Folders-for-Home-roaming-profile-et-redireclfolders. ASPX

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

Et vous devez modifier davantage l'ACE pour des utilisateurs authentifiés afin qu'il ne s'applique que dans ce dossier uniquement.

6
Greg Askew

Élargir sur la réponse de @ dan ...

Acceptez le propriétaire du créateur, mais je n'accorde jamais FC aux utilisateurs. Cela leur permet de définir leurs propres DACLS, qui, dans mon expérience, apporte un monde de douleur, lorsque l'utilisateur de la puissance impairs (lu "Douleur dans l'AR $ E) supprime les autorisations pour le système, ce qui vous empêche de sauvegarder leurs fichiers. Alors , limiter normalement l'utilisateur des données à modifier (changement dans le langage de la vieille école).

Système: FC, oui.

Domaine Admins: Nope. Spécifiez le groupe d'administrateurs locaux du serveur.

Tout le monde: pourquoi? N'utiliserait personnellement jamais "tout le monde" de toute façon, car il inclut des utilisateurs non authentifiés.

Autorisations d'actions - d'accord. Ils ne servent que pour confondre les requêtes d'accès.

2
Simon Catlin

Je conviens qu'il est préférable de contrôler l'accès au niveau NTFS plutôt que du niveau de partage, mais que vous leur donniez un contrôle total, les utilisateurs seront toujours en mesure de définir des autorisations sur les fichiers qu'ils créent car ils sont alors le propriétaire.

Si vous souhaitez les empêcher de changer les autorisations, même sur des objets qu'ils possèdent, rendez les autorisations sur le changement de partage (pour tout le monde) au lieu de plein.

Ensuite, vous pourriez aussi bien leur donner pleinement (NTFS) sur leur propre répertoire de base, il est donc évident que ce qui se passe.

1
Tony Lezard