Назад | Перейти на главную страницу

Установите владельцем домашней папки новых пользователей пользователя вместо BUILTIN \ Administrators при использовании ADUC (в Windows Server 2008 R2)

В нашей AD мы создаем новых пользователей, копируя пользователя по умолчанию в ADUC. Для пользователя по умолчанию мы указали домашнюю папку с помощью переменной% USERNAME% (сопоставленной с H :): \ fileserver \ homes \% USERNAME%

Для новых пользователей автоматически создается домашняя папка на сервере, владельцем которой является BUILTIN \ Administrators. Но нам нужно, чтобы пользователь был назначен владельцем. Как мы можем этого добиться?

Разрешения, установленные для родительской папки (домов), следующие:

CREATOR OWNER         Full            Subfolders and files only
g_admins              Full            This folder, subfolders and files
SYSTEM                Full            This folder, subfolders and files
Authenticated Users   Read, Append    This folder only
(Owner: g_admins)

Зачем? Ваши разрешения тоже кажутся странными. Предполагая, что вы не изменили поведение сервера по умолчанию для «обходной проверки», все, что вам нужно, это:

\ файловый сервер \ дома

  • Администраторы домена = Полный

  • G_Admins = Полный

Когда вы создаете пользователя в ADUC и назначаете его домашний диск:

\ fileserver \ homes \% имя пользователя%

он должен установить эти разрешения как:

  • Администраторы домена = Полный
  • G_Admins = Полный
  • % username% = Full (независимо от логина пользователя)

Если вы хотите, чтобы прошедшие проверку пользователи имели доступ на чтение к домашней папке каждого, добавьте их в папку \ fileserver \ homes с доступом на чтение.

Но, возможно, есть причина для вашей установки ... просто показать вам, как я бы это сделал.

Вам нужно добавить принцип безопасности CREATOR OWNER в вашу папку «Home» и назначить ей любые разрешения, которые вы хотите, чтобы пользователь получил в конечном итоге при создании своей домашней папки. Это автоматически установит их в качестве владельцев, а также предустановит их разрешения.

Обратите внимание, что рекомендуется предоставлять пользователям права на изменение, а не на полное, даже для их собственных файлов. Распространенная проблема, которую я видел, заключается в том, что "сообразительный" пользователь войдет и удалит разрешения СИСТЕМЫ и Администратора из своих файлов, что в конечном итоге предотвратит резервное копирование их файлов и может даже повлиять на соблюдение квот или другое обслуживание, выполняемое сервером. администраторы.