NTFS-Berechtigungen für die Stammfreigabe, in der sich die Basisverzeichnisse von Windows Server 2008 R2 befinden

9

Ich verwende die Registerkarte AD-Profil, um \\server\homeautomatisch Home-Verzeichnisse zu erstellen , damit die Berechtigungen automatisch erstellt werden.

Wie sollten die NTFS-Berechtigungen für den tatsächlichen Ordner sein, in dem die Basisverzeichnisse erstellt werden ( \\server\home)?

Außerdem sind Freigabeberechtigungen immer Jeder :: Vollzugriff, da ich den tatsächlichen Zugriff mit NTFS-Berechtigungen kontrolliere. ist das die richtige Methode?

— Gregg
quelle

14

Folgendes habe ich in meinen Favoriten als Referenz:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

CREATOR OWNER - Volle Kontrolle (Anwenden auf: Nur Unterordner und Dateien)
System - Vollzugriff (Anwenden auf: diesen Ordner, Unterordner und Dateien)
Domain-Administratoren - Vollzugriff (Anwenden auf: diesen Ordner, Unterordner und Dateien)
Jeder - Ordner erstellen / Daten anhängen (Anwenden auf: Nur diesen Ordner)
Jeder - Ordner auflisten / Daten lesen (Anwenden auf: Nur diesen Ordner)
Jeder - Attribute lesen (Anwenden auf: Nur diesen Ordner)
Jeder - Ordner durchlaufen / Datei ausführen (Anwenden auf: Nur diesen Ordner)

Es wird außerdem empfohlen, Freigabeberechtigungen wie folgt festzulegen:

Jeder - volle Kontrolle

— Dan
quelle

6

Es ist hier dokumentiert:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Außerdem müssen Sie den ACE für authentifizierte Benutzer weiter bearbeiten, damit er nur für diesen Ordner gilt.

— Greg Askew
quelle

2

@ Dans Antwort erweitern ...

Ich stimme dem Eigentümer des Erstellers zu, erteile den Benutzern jedoch niemals FC. Auf diese Weise können sie ihre eigenen DACLs festlegen, was meiner Erfahrung nach eine Welt voller Schmerzen mit sich bringt, wenn der eine oder andere Power-User (lesen Sie "Pain in the Ar $ e") die Berechtigungen für SYSTEM entfernt und Sie so daran hindert, ihre Dateien zu sichern Normalerweise beschränken Sie den Benutzer der Daten auf Ändern (Änderung der alten Sprache).

SYSTEM: FC, ja.

Domain-Administratoren: Nein. Geben Sie die lokale Administratorgruppe des Servers an.

Jeder: Warum? Würde persönlich sowieso nie "Jeder" verwenden, da es nicht authentifizierte Benutzer enthält.

Freigabeberechtigungen - zustimmen. Sie dienen nur dazu, Zugriffsabfragen zu verwirren.

— Simon Catlin
quelle

2

Ist dies eine Antwort auf die ursprüngliche Frage oder ein Kommentar als Antwort auf @Dan? Ich würde vorschlagen, Ihre Empfehlungen zu einer eigenständigen Antwort auf die ursprüngliche Frage zu machen. Wenn Sie Kommentare zu @ Dans Antwort haben, geben Sie diese separat als Kommentare an. Ihre Antwort wird nicht in chronologischer Reihenfolge angezeigt und sollte nicht von der Antwort eines anderen für den Kontext abhängen.

— Skyhawk

1

Ich bin damit einverstanden, dass es besser ist, den Zugriff auf NTFS-Ebene als auf Freigabeebene zu steuern. Unabhängig davon, ob Sie ihnen die vollständige Kontrolle erteilen, können die Benutzer immer Berechtigungen für von ihnen erstellte Dateien festlegen, da sie dann der Eigentümer sind.

Wenn Sie verhindern möchten, dass sie die Berechtigungen auch für Objekte ändern, die sie besitzen, nehmen Sie die Berechtigungen für die Freigabeänderung (für alle) anstelle von Vollständig vor.

Dann können Sie ihnen auch Full (NTFS) in ihrem eigenen Home-Verzeichnis geben, damit klar ist, was los ist.

— Tony Lezard
quelle