Autorisations NTFS pour le partage racine qui héberge les répertoires personnels Windows Server 2008 R2

9

J'utilise l'onglet Profil AD pour créer automatiquement des répertoires personnels sur \\server\home, afin que les autorisations soient automatiquement créées.

Quelles devraient être les autorisations NTFS pour le dossier réel dans lequel les répertoires de départ sont créés dans ( \\server\home)?

En outre, les autorisations de partage sont toujours Tout le monde :: Accès complet car je contrôle l'accès réel avec les autorisations NTFS; est-ce la bonne méthode?

— Gregg
source

14

Voici ce que j'ai dans mes favoris pour référence:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

CRÉATEUR PROPRIÉTAIRE - Contrôle total (Appliquer sur: Sous-dossiers et fichiers uniquement)
Système - Contrôle total (Appliquer sur: ce dossier, sous-dossiers et fichiers)
Administrateurs de domaine - Contrôle total (Appliquer sur: ce dossier, sous-dossiers et fichiers)
Tout le monde - Créer un dossier / ajouter des données (Appliquer sur: ce dossier uniquement)
Tout le monde - Répertorier le dossier / Lire les données (Appliquer sur: ce dossier uniquement)
Tout le monde - Lire les attributs (Appliquer sur: ce dossier uniquement)
Tout le monde - Dossier transversal / Exécuter le fichier (Appliquer sur: ce dossier uniquement)

Il recommande également de définir des autorisations de partage comme:

Tout le monde - Contrôle total

— Dan
source

6

C'est documenté ici:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Et vous devez en outre modifier l'ACE pour les utilisateurs authentifiés afin qu'il s'applique uniquement à ce dossier uniquement.

— Greg Askew
source

2

Développer la réponse de @ Dan ...

D'accord Créateur propriétaire, mais je n'accorde jamais de FC aux utilisateurs. Cela leur permet de définir leurs propres DACL, ce qui, selon mon expérience, apporte un monde de douleur, lorsque l'étrange utilisateur (lire "douleur dans l'ar $ e) supprime les autorisations pour SYSTEM, vous empêchant ainsi de sauvegarder leurs fichiers. Donc , limite normalement l'utilisateur des données à Modifier (changement dans le langage de la vieille école).

SYSTÈME: FC, oui.

Administrateurs de domaine: Non. Spécifiez le groupe d'administrateurs locaux du serveur.

Tout le monde: pourquoi? N'utiliserait jamais personnellement "Tout le monde" de toute façon, car il inclut des utilisateurs non authentifiés.

Partager les autorisations - d'accord. Ils ne servent qu'à confondre les requêtes d'accès.

— Simon Catlin
source

2

Est-ce une réponse à la question d'origine ou un commentaire en réponse à @Dan? Je suggérerais de faire de vos recommandations une réponse autonome à la question initiale. Si vous avez des commentaires sur la réponse de @ Dan, faites-les séparément en tant que commentaires. Votre réponse ne sera pas présentée par ordre chronologique et ne devrait pas dépendre de la réponse de quelqu'un d'autre pour le contexte.

— Skyhawk

1

Je suis d'accord qu'il vaut mieux contrôler l'accès au niveau NTFS plutôt qu'au niveau du partage, mais que vous leur donniez le contrôle total, les utilisateurs pourront toujours définir des autorisations sur les fichiers qu'ils créent car ils sont alors le propriétaire.

Si vous souhaitez les empêcher de modifier les autorisations même sur les objets qu'ils possèdent, effectuez les autorisations sur le partage Modifier (pour tout le monde) au lieu de Complet.

Ensuite, vous pourriez tout aussi bien leur donner Full (NTFS) sur leur propre répertoire personnel, il est donc évident de ce qui se passe.

— Tony Lezard
source