一点背景:
我们目前使用Windows Server 2003和AD来控制用户及其数据(我们正在考虑在未来的某个时间点更新到Server 2008 R2,但不是由于政治原因而立即进行,希望解决scheme能够在没有问题的情况下转移到2008年)。 用户的漫游configuration文件夹(Windows XP和Windows 7文件夹)存储在我们称为“Windows_Home”的networking共享中。 我已阅读此文章: http : //technet.microsoft.com/en-us/library/cc737633%28v=ws.10%29.aspx ,这是Microsoft的“安全build议”文章,并应用“父文件夹“的权限,只有”Windows_Home“文件夹(它下面的一些子文件夹给了我权限被拒绝,当我尝试这个,所以我想我将作为pipe理员个别取得每个文件夹的所有权,然后再次重新应用权限那么父母就完全传下来了,然后把原来的主人重新申请到文件夹,生活应该很好?)。
据我所知,每个人的文件夹目前都是从父母身上inheritance的,但是有些人还有额外的权限,我不知道。 如果只是这样(只从父“Windows_Home”结尾inheritance),或者每个人的文件夹不应该inheritance权限并拥有自己的一组权限(尽pipe每个文件夹都是相同的,即Admin +所有者+系统完全控制)?
如果只是inheritance,这是否也会影响另一个用户查看其他文件夹的能力? 例如,用户“jhendrix”和“tpetty”有他们的“user.V2”文件夹,当前可以查看,文件/文件夹由另一个创build和打开。 所以tpetty可以通过networking浏览到jhendrix.V2并阅读他的文档和文件,反之亦然。 这可以在父文件夹级别更改为“只有子文件夹的所有者和pipe理员可以访问此文件夹,而没有其他人? 或者,这只能在每个文件夹单独完成,这将是非常烦人的?
简而言之,目标是根据Technet关于父文件夹和用户文件夹的文章,只有文件夹的所有者(当然是域用户),系统和pipe理员已满访问它和内容(所以我们没有得到任何临时的configuration文件或部分同步的configuration文件问题),而所有其他用户试图导航到“无法访问文件夹”消息。 我应该做些什么来接近这个目标? 我已经在那里了吗? 需要指导,非常感谢!
每当你阻止inheritance时,你就会从未来的灵活性中解脱出来。 我不惜一切代价避免阻塞inheritance。 你是对的关心它。
我一直认为微软的这个build议在这个function方面是错误的。 它们似乎完全不代表真实世界的部署场景。 我至less可以看到,在这样一个重要的文件夹层次结构的顶部,为用户提供了“创build子文件夹”权限,从而实现了潜在的拒绝服务攻击。 我相信用户configuration文件夹(和其他每个用户文件夹)需要预先创build作为帐户configuration的一部分。
我的用户configuration文件(和其他每个用户文件夹)的标准操作过程如下:
您需要用户能够列出顶级文件夹的内容,所以我使用以下权限:
请注意:最后一个权限应该设置为不inheritance到子文件夹(即应用于“仅此文件夹”)。 此权限允许客户端枚举顶级文件夹的内容,但因为它不inheritance到子文件夹或文件,所以不会授予对子文件夹的任何访问权限。
在每个子文件夹inheritance保持启用。 我只是在该子文件夹中添加“完全控制”权限的用户。
你也可以通过脚本来做到这一点:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (ie jDoe) TAKEOWN /f "x:\Windows_Home\%userDir%" /r /dy ICACLS "x:\Windows_Home\%userDir%" /reset /T ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T 您需要启用组策略设置“不检查漫游configuration文件文件夹的用户所有权”,以防止客户端计算机抱怨configuration文件夹不被用户“拥有”。 我把这个域名设置为我的标准操作程序的一部分。