我正在使用“ADconfiguration文件”选项卡在\\server\home自动创build主目录,以便自动创build权限。
对于在( \\server\home )中创build主目录的实际文件夹,NTFS权限应该是什么?
此外,共享权限总是每个人::完全访问,因为我控制实际访问与NTFS权限; 那是正确的方法吗?
这是我最喜欢参考的东西:
http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx
还build议将共享权限设置为:
这里logging:
Administrators: Full Control System: Full Control Creator Owner: Full Control Authenticated Users: Read & Execute, List Folder Contents, Read
而且您必须进一步编辑已authentication用户的ACE,以便仅适用于仅此文件夹。
扩展@ Dan的答案…
同意创build者所有者,但我从不授予用户FC。 这允许他们设置自己的DACL,在我的经验带来了一个痛苦的世界,当奇怪的电力用户(读取“AR $ E的痛苦”)删除SYSTEM的权限,从而阻止你备份他们的文件。 ,通常限制数据的用户修改(改变老派的说法)。
系统:FC,是的。
域pipe理员:不。 指定服务器的本地pipe理员组。
每个人:为什么? 无论如何,个人绝不会使用“所有人”,因为它包括未经过身份validation的用户。
共享权限 – 同意。 他们只是用来混淆访问查询。
我同意最好控制访问在NTFS级别,而不是共享级别,但不pipe是否给予他们完全控制,用户将始终能够设置他们创build的文件的权限,因为他们是所有者。
如果要防止他们更改权限(即使在他们拥有的对象上),请对“共享”(对于每个人)更改权限,而不是“完全”。
那么你也可以在自己的主目录上给他们全部(NTFS),所以很明显发生了什么事情。