服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何应用NTFS权限来保护用户configuration文件?
Intereting Posts
Nginx的configuration如果和try_files 我如何才能在Apache服务器中为某些URLlogging正文请求和响应? 我可以在MyISAM表上logging限制吗? 如何判断一个网站是否使用Akamainetworking 不合适的子网/掩码组合 vSphere 5.0 – 重新启动时,自定义文件夹将被删除 数据库检测:MySQL> = 5(自动检测)方法:GETtypes:整数(自动检测) SCCM 2012 – 一些远程客户端无法下载一些应用程序,401.2错误 可以减慢Linux上的日志写入速度(ext3)? 查看远程机器上安装的程序? 无法启动MySQL 5.7.15和MacOS Sierra 虚拟主机名是否适合为应用程序及其环境创build子域名? 有没有办法强制心跳增加新的IP地址到系统没有完全重新启动? 什么每日清单项目有Coldfusion,iis7,SQL服务器pipe理员? KVM / QEMU:无需连接到虚拟机

如何应用NTFS权限来保护用户configuration文件?

我想在用户主目录上设置NTFS权限,以便一个用户不能访问另一个用户主目录。 我该如何去做呢? 我需要能够一次将这个应用到数百个用户。 能够批量应用权限将是非常好的。 我有一个UserProfiles的文件夹,其中有所有的用户主目录。 当创build主目录时会自动发生吗?

我读的地方,我可以使用%username%variables,但我不知道如何做到这一点。 我不确定这是否会起作用。

我刚刚开始在服务器pipe理。

我是一个逆向投资者,并认为微软的内置function允许客户端电脑自动创buildconfiguration文件夹是错误的。 (在我看来,在服务器上有一个世界可写的文件夹是一个安全问题。)这也给了我一个借口来certificate我如何处理Windows Server计算机上的用户数据存储。

我会告诫的是,我在下面用自动configuration脚本来处理所有的事情,但没有任何理由不能手动完成。 但是对于大量的用户来说,编写一个简单的批处理脚本也是有意义的。

喜欢组策略中的文件夹redirectfunction,以及漫游用户configuration文件,您可以接近无状态的客户端计算机。 这确实意味着在服务器计算机上创build文件夹的层次结构来处理存储用户数据文件夹。 多年来,我想出了一个办法,我觉得给了一个美好的系统pipe理员用户体验。 (你提到你是新手,你应该花一些时间来阅读这些function是如何工作的 – “将来你”会很高兴你做到了。)

我在服务器计算机上创build了一个共享文件夹 – 类似“用户”,具有“pipe理员/完全控制”,“系统/完全控制”和“validation用户/列出文件夹内容 – 仅此文件夹”。 这允许非特权用户枚举文件夹的内容,但是可以阻止在较低级别阻止权限的inheritance(这总是表明您的devise“颠倒”并且限制了您未来的灵活性)。

如果我对用户帐户(“员工”与“承包商”,“学生”与“老师”等)进行了一些顶层描述,我可能会从顶层文件夹中执行此操作(注意我不会这么做对于可能随着频率而改变的分类,因为移动用户的“东西”是一种痛苦)。 这可以使文件夹redirect组策略有点复杂,所以我会避免这一点,除非你需要它。

我为每个用户帐户(基于用户名命名)创build一个子文件夹,并将权限“User / Full Control”应用于子文件夹。 这是我申请的唯一权限。

在用户文件夹下面,我为其redirect文件夹(“AppData”,“Desktop”,“Documents”等)和“Profile.V2”(和“Profile”,如果我仍然需要Windows XP兼容性)创build子文件夹: 

[ ] - [ Users ] | - [ EAnderson ] (<-- Permission EAnderson/Full Control applied here) | - [ AppData ] | - [ Desktop ] | - [ Documents ] | - [ Profile ] | - [ Profile.V2 ]

我将在手动环境中使用的工作stream将是在AD中初始创build用户帐户而不指定简档或主目录path。 然后,我会去创build用户的文件夹层次结构,并申请权限,然后再返回到用户的帐户属性,并指定configuration文件和主目录path。 在这个例子中, EAnderson的path将被设置为:

  • configuration文件: \\server\Users\EAnderson
  • 主目录: \\server\Users\EAnderson\Documents

当您指定用户的configuration文件和主目录位置时,“Active Directory用户和计算机”工具将“帮助”询问您是否更改文件夹的权限。 我总是告诉那个工具“不”,因为我不希望它弄乱我的修剪权限。

我的文件夹redirect策略将redirectpath,如下所示:

  • AppData: \\server\Users\%username%\AppData
  • 桌面: \\server\Users\%username%\Desktop
  • 文档: \\server\Users\%username%\Documents

在“文件夹redirect”设置中,我始终将每个redirect条目的checkbox都设置为“授予用户专有权限……”(因为这也会使您的修剪权限变得严重)。

如果我不得不面对仍在使用基于Windows XP的计算机的用户,我也会将“collections夹”redirect到传统的“configuration文件”文件夹中,但希望您不必与之竞争。

警告:必须启用“不检查漫游configuration文件夹的用户所有权”组策略设置,才能使漫游用户configuration文件正常工作。 回到Windows XP Service Pack 1(和Windows 2000 Server Pack 4),微软决定,默认情况下,操作系统将检查用户是否被指定为他们的个人资料文件夹的所有者 – 我不同意和通过启用这个function组策略设置。

我喜欢使用这种方法的用户数据存储有以下几个原因:

  • 它给了我一个为每个用户设置的权限(或者当我有一个需要访问旧用户数据的replace用户时重置)。

  • 它给了我一个文件夹来评估给定用户的磁盘空间对服务器计算机的影响(因为所有“他们的东西”都存储在这个层次中)。

  • 它限制了我需要从我的服务器计算机导出的共享文件夹层次结构的数量(与我以前做的“旧方法”相对应 – 使用单独的\\server\profile\\server\documents等等)。