Я использую вкладку профиля AD для автоматического создания домашних каталогов на \\server\home
, так что разрешения создаются автоматически.
Какими должны быть разрешения NTFS для фактической папки, в которой созданы домашние каталоги (\\server\home
)?
Кроме того, разрешениями для общих ресурсов всегда являются Все :: Полный доступ, поскольку я контролирую фактический доступ с разрешениями NTFS; это правильный метод?
Вот что у меня есть для справки:
http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx
Он также рекомендует установить разрешения для общего доступа как:
Это задокументировано здесь:
Administrators: Full Control
System: Full Control
Creator Owner: Full Control
Authenticated Users: Read & Execute, List Folder Contents, Read
И вы должны дополнительно отредактировать ACE для аутентифицированных пользователей, чтобы он применялся только к этой папке.
Расширение ответа @Dan ...
Согласитесь с владельцем-создателем, но я никогда не предоставляю FC пользователям. Это позволяет им устанавливать свои собственные списки DACL, что, по моему опыту, доставляет массу неудобств, когда нечетный опытный пользователь (читайте «боль в строке») удаляет разрешения для SYSTEM, тем самым останавливая ваше резервное копирование их файлов. , обычно ограничивают пользователя данных до «Изменить» (изменение на языке старой школы).
СИСТЕМА: FC, да.
Администраторы домена: Нет. Укажите группу локальных администраторов сервера.
Все: Почему? В любом случае лично никогда бы не использовал "Все", так как он включает неаутентифицированных пользователей.
Делитесь разрешениями - соглашайтесь. Они служат только для того, чтобы запутать запросы доступа.
Я согласен с тем, что лучше контролировать доступ на уровне NTFS, а не на уровне общего ресурса, но независимо от того, предоставите ли вы им полный доступ, пользователи всегда смогут устанавливать разрешения для файлов, которые они создают, потому что в этом случае они являются владельцами.
Если вы хотите запретить им изменять разрешения даже для объектов, которыми они владеют, сделайте разрешения для общей папки «Изменить» (для всех) вместо «Полные».
Затем вы можете предоставить им полную (NTFS) версию в их собственном домашнем каталоге, чтобы было очевидно, что происходит.