NTFS Дозволи на кореневу спільну доступність, в яких розміщені домашні каталоги Windows Server 2008 R2

9

Я використовую вкладку "Профіль профілю" для автоматичного створення домашніх каталогів на \\server\home, щоб дозволи створювалися автоматично.

Якими повинні бути дозволи NTFS для фактичної папки, в якій створені домашні каталоги ( \\server\home)?

Крім того, дозволи на спільний доступ завжди є всі: Повний доступ, оскільки я контролюю фактичний доступ з дозволами NTFS; це правильний метод?

windows  permissions  directory  home-directory 
Грегг
джерело

Відповіді:

14

Це те, що у мене є улюбленим для довідок:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

  • ВЛАСНИК ТВОРЧОГО ПОВЕРНЕННЯ - Повний контроль (застосовується до: папок і файлів)
  • Система - Повний контроль (застосувати до: Ця папка, папки та файли)
  • Адміністратори домену - повний контроль (застосувати до: цієї папки, папок і файлів)
  • Усі - Створіть папки / додайте дані (застосуйте до: лише цієї папки)
  • Усі - перерахуйте папки / дані для читання (застосувати до: Лише ця папка)
  • Усі - читати атрибути (застосувати до: Лише ця папка)
  • Усі - перехід папки / виконання файлу (застосувати до: лише цієї папки)

Він також рекомендує встановити дозволи на поділ як:

  • Усі - повний контроль
Ден
джерело
6

Це задокументовано тут:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx 

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

І вам слід додатково відредагувати ACE для аутентифікованих користувачів, щоб воно стосувалося лише цієї папки.

Грег Аскеу
джерело
2

Розгортається на відповідь @ Дана ...

Я погоджуюся з власником творців, але я ніколи не надаю ФК користувачам. Це дозволяє їм встановлювати свої власні DACL, які, на мій досвід, приносять світ болю, коли непарний користувач енергії (читається "біль в ар $ е) видаляє дозволи для SYSTEM, тим самим зупиняючи резервне копіювання своїх файлів." , як правило, обмежте користувача даних на Зміна (зміна мови в старому навчальному закладі).

СИСТЕМА: ФК, так.

Адміністратори домену: Ні. Вкажіть групу локальних адміністраторів сервера.

Кожен: Чому? Я особисто ніколи не використовував би "Усі", оскільки він включає користувачів, що не мають автентифікації.

Ділитися дозволами - погоджуйтеся. Вони служать лише для плутанини запитів доступу.

Саймон Кетлін
джерело
2
Це відповідь на початкове запитання чи коментар у відповідь на @Dan? Я б запропонував зробити ваші рекомендації самостійною відповіддю на оригінальне запитання. Якщо у вас є коментарі до відповіді @ Dan, зробіть їх окремо як коментарі. Ваша відповідь не буде представлена ​​в хронологічному порядку, і вона не повинна залежати від чужої відповіді в контексті.
Skyhawk
1

Я погоджуюся, що краще контролювати доступ на рівні NTFS, а не на рівні спільного доступу, але незалежно від того, надаєте ви їм Повний контроль, користувачі завжди зможуть встановлювати дозволи на створені ними файли, оскільки вони потім є власником.

Якщо ви хочете перешкодити їм змінювати дозволи навіть для об’єктів, якими вони володіють, зробіть дозволи на спільну зміну (для всіх) замість Повна.

Тоді ви також можете дати їм Full (NTFS) у власному домашньому каталозі, так що очевидно, що відбувається.

Тоні Лезард
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.