Я хочу установить разрешения NTFS для домашнего каталога пользователей, чтобы один пользователь не мог получить доступ к домашнему каталогу другого пользователя. Как мне это сделать? Мне нужно применить это сразу к сотням пользователей. Было бы здорово иметь возможность применять разрешения в пакетном режиме. У меня есть папка UserProfiles, и в ней есть все домашние каталоги пользователей. Произойдет ли это автоматически при создании домашних каталогов.
Я где-то читал, что могу использовать переменную% username%, но не знаю, как это сделать. Я не уверен, сработает ли это.
Я только начинаю заниматься администрированием серверов.
Я противник и считаю, что встроенная функция Microsoft, позволяющая клиентским компьютерам автоматически создавать папки профиля, неверна. (На мой взгляд, наличие на сервере доступной для записи папки является проблемой безопасности.) Это также дает мне повод для рассуждений о том, как я обрабатываю хранилище пользовательских данных на компьютерах Windows Server.
Я сделаю оговорку, что я делаю все, о чем говорю ниже, с помощью сценария подготовки, но нет причин, по которым вы не могли бы сделать все это вручную. Однако для любого большого числа пользователей имеет смысл написать даже простой пакетный сценарий.
я люблю в Перенаправление папок функциональные возможности групповой политики, а также перемещаемые профили пользователей позволяют приблизиться к клиентским компьютерам без отслеживания состояния. Это означает создание иерархии папок на серверных компьютерах для хранения папок с пользовательскими данными. За прошедшие годы я придумал способ сделать это, который, как мне кажется, обеспечивает прекрасный пользовательский интерфейс для системного администратора. (Вы упомянули, что вы новичок в этом - вам определенно следует потратить некоторое время, чтобы прочитать о том, как эти функции работают - «будущие вы» будут рады, что вы это сделали.)
Я создаю общую папку на сервере - что-то вроде «пользователи» с разрешениями верхнего уровня «Администраторы / Полный доступ», «Система / Полный доступ» и «Аутентифицировать пользователей / Список содержимого папки - только эта папка. ". Это позволяет непривилегированным пользователям перечислять содержимое папки, но избавляет от необходимости блокировать наследование разрешений на более низких уровнях (т.е. всегда признак того, что ваш дизайн «перевернут» и ограничивает вашу будущую гибкость).
Если бы у меня было какое-то разграничение учетных записей пользователей на верхнем уровне («Сотрудник» против «Подрядчик», «Студент» против «Учитель» и т. Д.), Я мог бы сделать это из папки верхнего уровня (с оговоркой, что я не буду этого делать. для категоризации, которая может меняться с любой частотой, потому что перемещение "вещей" пользователя - это боль). Это может немного усложнить групповую политику перенаправления папок, поэтому я бы избегал этого, если он вам не нужен.
Я создаю подпапку для каждой учетной записи пользователя (названную по имени пользователя) и применяю к ней разрешение «Пользователь / Полный доступ». Это единственное разрешение, которое я применяю.
Под папкой пользователя я создаю подпапки для их перенаправленных папок («AppData», «Рабочий стол», «Документы» и т. Д.) И «Profile.V2» (и «Профиль», если мне все еще нужна совместимость с Windows XP):
[ ] - [ Users ]
|
- [ EAnderson ] (<-- Permission EAnderson/Full Control applied here)
|
- [ AppData ]
|
- [ Desktop ]
|
- [ Documents ]
|
- [ Profile ]
|
- [ Profile.V2 ]
Рабочий процесс, который я использовал бы в ручной среде, будет заключаться в первоначальном создании учетной записи пользователя в AD без указания путей профиля или домашнего каталога. Затем я бы создал иерархию папок пользователя и применил разрешение, прежде чем возвращаться к свойствам учетной записи пользователя и указывать пути профиля и домашнего каталога. Пути для EAnderson в этом примере будет установлено:
\\server\Users\EAnderson\\server\Users\EAnderson\DocumentsИнструмент «Active Directory - пользователи и компьютеры» «услужливо» спросит вас об изменении разрешений для папок, если вы укажете расположение профиля и домашнего каталога пользователя. Я всегда говорю этому инструменту «Нет», потому что я не хочу, чтобы он мешал моим ухоженным разрешениям.
Политика перенаправления моей папки будет перенаправлять пути следующим образом:
\\server\Users\%username%\AppData\\server\Users\%username%\Desktop\\server\Users\%username%\DocumentsВ настройках перенаправления папок я всегда снимаю флажок «Предоставить пользователю исключительные права на ...» для каждой записи перенаправления (потому что это также портит ваши ухоженные разрешения).
Если бы мне приходилось бороться с пользователями, все еще использующими компьютеры под управлением Windows XP, я бы также сделал перенаправление «Избранное» в устаревшую папку «Профиль», но, надеюсь, вам не придется с этим бороться.
Осторожно: Для правильной работы перемещаемого профиля пользователя необходимо включить параметр групповой политики «Не проверять право собственности пользователя на папки перемещаемого профиля». Вернувшись в Windows XP с пакетом обновления 1 (и Windows 2000 Server Pack 4), Microsoft решила, что по умолчанию ОС будет проверять, указан ли пользователь в качестве владельца папки его профиля - функциональность, с которой я не согласен и которую я исключаю, включив ее. Параметр групповой политики.
Мне нравится хранение пользовательских данных с использованием этого метода по ряду причин:
Это дает мне одно разрешение для установки для каждого пользователя (или для сброса, когда у меня есть замещающий пользователь, которому нужен доступ к данным старого пользователя).
Это дает мне одну папку для оценки влияния дискового пространства данного пользователя на серверный компьютер (поскольку все «их материалы» хранятся в этой единой иерархии).
Он ограничивает количество иерархий общих папок, которые мне нужно экспортировать с моего серверного компьютера (в отличие от "старого способа", которым я это делал - с отдельными \\server\profile, \\server\documentsи т.д., иерархии).