Немного предыстории:
В настоящее время мы используем Windows Server 2003 и AD для управления пользователями и их данными (мы планируем обновление до Server 2008 R2 в какой-то момент в среднесрочной перспективе, но не сразу из-за политики. Надеемся, что решение будет перенесено на 2008 год без проблем). Папки перемещаемых профилей пользователей (папки как Windows XP, так и Windows 7) хранятся в общей сетевой папке, которую мы назовем «Windows_Home». Я прочитал эту статью: http://technet.microsoft.com/en-us/library/cc737633%28v=ws.10%29.aspx, который является статьей «Рекомендации по безопасности» от Microsoft, и применил разрешения «родительской папки» только к папке «Windows_Home» (некоторые из подпапок ниже давали мне отказ в разрешении, когда я пробовал это, так что я думаю, что я ' Вы будете владеть каждой папкой в качестве администратора индивидуально, а затем повторно примените разрешения к родительскому объекту, чтобы они полностью передавались? Затем повторно примените первоначального владельца к папке, и жизнь должна быть хорошей?).
Насколько мне известно, каждая отдельная папка в настоящее время наследуется от родительской, но у некоторых есть дополнительные разрешения, о которых я не знаю. Должен ли быть только этот способ (только наследование от родительского конца истории "Windows_Home"), или если каждая отдельная папка не наследует разрешения и имеет собственный набор разрешений (хотя он будет одинаковым для каждой папки, то есть Admin + владелец + Система имеет полный контроль)?
Если бы это было только наследование, не повлияло бы это также на возможность просмотра чужих папок как другого пользователя? Например, пользователи «jhendrix» и «tpetty» имеют свою папку «user.V2», которую в настоящее время можно просматривать, а файлы / папки создавать и открывать другой. Таким образом, tpetty может перемещаться по сети к jhendrix.V2, читать его документы и создавать файлы, и наоборот. Можно ли изменить это на уровне родительской папки, чтобы сказать: «Только владелец подпапки и администратор могут получить доступ к этой папке, и никто другой?» Или это нужно делать только для каждой папки индивидуально, что было бы очень неприятно?
Проще говоря, цель состоит в том, чтобы иметь рекомендуемые Microsoft разрешения для перемещаемого профиля в соответствии со статьей Technet о родительских и пользовательских папках, при этом только владелец папки (который, конечно, является пользователем домена), СИСТЕМА и Администратор имеют полный доступ. доступ к ней и ее содержимому (поэтому мы не получаем никаких проблем с временным профилем или частично синхронизированным профилем), в то время как все другие пользователи получают сообщение «Не удается получить доступ к папке» при попытке перейти в нее. Что мне делать, чтобы приблизиться к этой цели? Я уже там? Требуется руководство, большое спасибо!
Каждый раз, когда вы блокируете наследование, вы лишаетесь возможности гибкости в будущем. Я избегаю блокировки наследования любой ценой. Вы правы, что беспокоитесь об этом.
Мне всегда казалось, что рекомендации Microsoft в отношении этой функции ошибочны. Они совершенно не кажутся репрезентативными для реальных сценариев развертывания. Я вижу, как минимум, потенциальную атаку типа «отказ в обслуживании», предоставляя пользователям разрешение «Создать подпапку» наверху такой важной иерархии папок. Я считаю, что папки профиля пользователя (и другие папки для каждого пользователя) должны быть предварительно созданы как часть подготовки учетной записи.
Моя стандартная рабочая процедура для профиля пользователя (и других папок для каждого пользователя) выглядит следующим образом:
Вам нужно, чтобы пользователи могли отображать содержимое папки верхнего уровня, поэтому я использую следующее разрешение:
Обратите внимание: Должно быть установлено последнее разрешение не для наследования вложенным папкам (т.е. применяется к «Только эта папка»). Это разрешение позволяет клиентам перечислять содержимое папки верхнего уровня, но, поскольку оно не наследуется для вложенных папок или файлов, не предоставляет никакого доступа к вложенным папкам.
В каждой подпапке наследование остается включенным. Я просто добавляю пользователя с правами «Полный доступ» в эту подпапку.
Вы также можете сделать это через скрипт:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "x:\Windows_Home\%userDir%" /r /d y
ICACLS "x:\Windows_Home\%userDir%" /reset /T
ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F
ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T
Вам потребуется включить параметр групповой политики «Не проверять, принадлежит ли пользователь для перемещаемых папок профиля», чтобы клиентские компьютеры не жаловались на то, что папка профиля не «принадлежит» пользователю. Я также установил этот домен как часть моей стандартной рабочей процедуры.