Назад | Перейти на главную страницу

Разрешения NTFS для корневого общего ресурса, в котором находятся домашние каталоги Windows Server 2008 R2

Я использую вкладку профиля AD для автоматического создания домашних каталогов на \\server\home, так что разрешения создаются автоматически.

Какими должны быть разрешения NTFS для фактической папки, в которой созданы домашние каталоги (\\server\home)?

Кроме того, разрешениями для общих ресурсов всегда являются Все :: Полный доступ, поскольку я контролирую фактический доступ с разрешениями NTFS; это правильный метод?

Вот что у меня есть для справки:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

  • CREATOR OWNER - Полный доступ (Применяется только к подпапкам и файлам)
  • Система - полный доступ (применяется к: этой папке, подпапкам и файлам)
  • Администраторы домена - полный доступ (применяется к: этой папке, подпапкам и файлам)
  • Все - создать папку / добавить данные (применить только к этой папке)
  • Все - список папок / чтение данных (применить только к этой папке)
  • Все - чтение атрибутов (применить только к этой папке)
  • Все - Просматривать папку / Выполнить файл (Применить только к этой папке)

Он также рекомендует установить разрешения для общего доступа как:

  • Все - полный контроль

Это задокументировано здесь:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

И вы должны дополнительно отредактировать ACE для аутентифицированных пользователей, чтобы он применялся только к этой папке.

Расширение ответа @Dan ...

Согласитесь с владельцем-создателем, но я никогда не предоставляю FC пользователям. Это позволяет им устанавливать свои собственные списки DACL, что, по моему опыту, доставляет массу неудобств, когда нечетный опытный пользователь (читайте «боль в строке») удаляет разрешения для SYSTEM, тем самым останавливая ваше резервное копирование их файлов. , обычно ограничивают пользователя данных до «Изменить» (изменение на языке старой школы).

СИСТЕМА: FC, да.

Администраторы домена: Нет. Укажите группу локальных администраторов сервера.

Все: Почему? В любом случае лично никогда бы не использовал "Все", так как он включает неаутентифицированных пользователей.

Делитесь разрешениями - соглашайтесь. Они служат только для того, чтобы запутать запросы доступа.

Я согласен с тем, что лучше контролировать доступ на уровне NTFS, а не на уровне общего ресурса, но независимо от того, предоставите ли вы им полный доступ, пользователи всегда смогут устанавливать разрешения для файлов, которые они создают, потому что в этом случае они являются владельцами.

Если вы хотите запретить им изменять разрешения даже для объектов, которыми они владеют, сделайте разрешения для общей папки «Изменить» (для всех) вместо «Полные».

Затем вы можете предоставить им полную (NTFS) версию в их собственном домашнем каталоге, чтобы было очевидно, что происходит.