Назад | Перейти на главную страницу

Разрешения безопасности для перемещаемых профилей, перенаправления папок, домашних дисков и автоматического создания

Мы планируем изменить способ управления перемещаемыми профилями, домашними дисками и перенаправлением папок.

Наш последний системный администратор был ленив и предоставил всем доступ ко всему, чтобы обойти головную боль, связанную с настройкой разрешений для папок.

Я хочу, чтобы эти папки создавались автоматически при установке пути в AD. На данный момент домашняя папка создана нормально, однако при создании профиля мне нужно взять на себя ответственность за каждую папку для просмотра / изменения файлов, что является головной болью и нежизнеспособно в долгосрочной перспективе.

Я установил 3 общих ресурса для этих функций со следующими разрешениями

HomeStore и ProfileStore
Безопасность:
Создатель-владелец - Полная версия
Администратор домена - Полный
Прошедшие проверку пользователи - читать
Обмен:
Прошедшие проверку пользователи (только в этой папке) - Полная
Администратор домена - Полный
Система - Полная

FolderStore
Создатель-владелец - Полная версия
Администратор домена - Полный
Прошедшие проверку пользователи - читать
Обмен:
Все (только в этой папке) - Полный
Администратор домена - Полный
Система - Полная

Правильно ли они установлены? Я знаю, что у администратора есть проблемы с доступом к пользовательским файлам, но мы небольшая компания, и меня часто об этом просят.

Не разбирая перечисленные вами разрешения (потому что это меня задело), ​​я бы посоветовал прочитать эту статью:

http://technet.microsoft.com/en-us/library/cc737633(WS.10).aspx

Кроме того, в групповой политике есть параметр для добавления группы безопасности «Администраторы» в перемещаемые профили, которая предоставит группе «Администраторы» соответствующие разрешения на перемещаемые профили, устраняя необходимость владения вами при доступе к профилям, что, несомненно, вызовет проблемы. в конце концов.

Примечание 1. Вышеупомянутый параметр GP будет влиять только на вновь созданные профили, но не на существующие профили.

Примечание 2. Параметр GP должен быть установлен в объекте групповой политики, который применяется к объекту клиентского компьютера, а не к объекту компьютера сервера профиля.