我在将域本地组权限授予Windows Server 2003 R2 SP2和Windows XP SP3的强制用户configuration文件时遇到问题。
我创build了一个名为“销售”的全球组织,并将John和Mary放在该组中。 然后,我创build了一个名为Sales Local的Domain Local组,并将Sales组放入该组。 我想约翰和玛丽使用相同的强制性configuration文件。
我以pipe理员身份login,然后将configuration文件复制到适当的文件夹\ server01 \ profiles \ sales,并指定“域本地”组“销售本地”权限以使用configuration文件。
我input了新的configuration文件位置的适当path,然后单击“允许使用更改”,然后select“Sales Local Domain Local”组(注意:我必须单击“对象types”并勾选“组”才能执行此操作)。
在服务器端,我将ntuser.dat重命名为ntuser.man,然后尝试以John身份login。
问题是约翰没有看到所有的configuration文件。 例如,他将看到我放在桌面上的一个文本文件,但他没有看到我添加到桌面上的“我的文档”文件夹图标。 此外,如果您转到“桌面” – >“属性”,则只会看到一个黑屏而不是主题select,如果您尝试将“我的文档”文件夹添加到桌面,则会收到无法设置视觉样式的错误消息。
如果我将Sales设置为全局组 , 那么这些问题都不存在 ,但是我认为在AG-DL-P的基础上给予基于全局组的资源权限并不是“最佳实践”。 另外,为什么我必须采取额外的步骤来检查“组”,以授予组的权限? 我看到一个提到“BUILTIN \ Users”访问强制性configuration文件的“howto”文章。 这听起来不太安全。
我错过了什么? 这是我的一个configuration错误? 已知的限制?
以下是我所做的一些事情:
启动一个W2K3 R2标准。 带有Active Directory域的版本x86 SP2 VM。
在服务器虚拟机上创build一个“configuration文件”共享文件夹。 与“Everyone / Full Control”共享权限共享,并将NTFS设置为“Administrators – 完全控制”,“SYSTEM – 完全控制”和“Authenticated Users – Read and Execute – This folder only”。
创build该“configuration文件”文件夹的“销售”子文件夹。
创build一个名为“Sales(Local)”的域本地组和一个名为“Sales(Global)”的全局组。
创build了两个用户帐户 – “John”和“Mary”。 保留默认的“域用户”组成员身份,并将其作为成员添加到“销售(全局)”组中。
以“john”身份login到Windows XP Professional Service Pack 3 VM并创build了新的本地configuration文件。 将桌面颜色设置为红色(用于快速显示该configuration文件的加载情况)并注销。
作为域pipe理员帐户login到WinXP计算机,并使用“我的电脑”属性中的“用户configuration文件”function将新创build的“john”用户configuration文件复制到服务器计算机上的“configuration文件”共享中,授予“销售(本地)”“允许使用”权限。
回到服务器计算机上,我修改了“configuration文件”文件夹的“销售”子文件夹的安全性,以inheritance父文件夹的权限,并添加了“销售(本地) – 读取和执行”。 我重新将该权限应用于所有子文件夹。
我将“\ Profiles \ Sales”文件夹中的“NTUSER.DAT”文件重命名为“NTUSER.MAN”。
我修改了“John”和“Mary”用户帐户的属性,以在“\ SERVER \ Profiles \ Sales”中指定一个漫游用户configuration文件。
我以“Mary”身份(之前从未login过)login到Windows XP计算机,并validation我收到了红色的桌面背景。 我修改了桌面背景颜色,注销,再次login,并确认红色桌面颜色保持不变(这意味着强制用户configuration文件正在应用)。
我login为“John”并执行与“Mary”相同的validation步骤。
一切工作正如我所料,通过在所有权限中指定“销售(本地)”。 我很茫然地告诉你,你做了什么可能是不同的。 你看到我做了什么不同?