Un'osservazione prima di tutto: ogni volta che blocchi l'eredità, ti tagli fuori dalla flessibilità futura. Evito di bloccare l'eredità a tutti i costi.
Se hai bisogno che gli utenti siano in grado di elencare i contenuti della cartella "E: \ Home Directories" di primo livello, ad esempio, considera le seguenti autorizzazioni:
- SISTEMA - Controllo completo - Applicato a questa cartella, sottocartelle e file
- BUILTIN \ Administrators - Controllo completo - Applicato a questa cartella, sottocartelle e file
- BUILTIN \ Utenti autenticati - Leggi ed esegui - Applicato solo a questa cartella
L'ultima autorizzazione non eredita nelle sottocartelle. In ogni sottocartella, l'ereditarietà rimane abilitata e si specifica semplicemente l'utente con i diritti "Modifica" o "Controllo completo" (a seconda di come si ritiene che gli utenti siano in grado di impostare le autorizzazioni all'interno della propria directory home). (In genere ho impostato quest'ultima autorizzazione aggiungendo "Utenti autenticati" nella finestra delle proprietà di sicurezza non "Avanzate", deselezionando le caselle di controllo "Leggi" ed "Leggi ed Esegui". Procedere quindi nella finestra di dialogo "Avanzate" e modificare il Impostazione "Applica a" per quell'ACE su "Solo questa cartella". È il modo più semplice, in termini di numero di clic, di impostarlo.)
Quindi, il tuo script diventa:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "E:\Home Directories\%userDir%" /r /d y
ICACLS "E:\Home Directories\%userDir%" /reset /T
ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%userDir%" /setowner "MYDOMAIN\%userDir%" /T
Sospetto fortemente che l'aggiunta dell'autorizzazione "Utenti autenticati" che ho descritto sopra con l'eredità impostata su "Solo questa cartella" ti darà ciò che stai cercando in funzionalità e ti darà flessibilità futura se lo scopri che è necessario impostare un'autorizzazione che potrebbe essere necessario ereditare in tutte le home directory degli utenti in futuro.
Questo è il mio SOP per le directory home degli utenti, le cartelle "Documenti", "Desktop", ecc. Reindirizzate e per le directory dei profili utente in roaming. Funziona benissimo.
modificare
ri: il tuo commento sull'accesso BUILTIN \ Administrators
Ho avuto vari argomenti con le persone sulla mia opinione sulla concessione dell'accesso BUILTIN \ Administrators nel corso degli anni e la mia opinione è questa:
È più facile risolvere una determinata classe di problemi dell'utente se riesci ad accedere ai loro file. "Prendere possesso" è una seccatura e può essere piuttosto lento se ci sono anche molti file presenti.
Come hai visto con ICACLS, BUILTIN \ Administrators può "assegnare" la proprietà (oltre a "prenderlo"), quindi non c'è "sicurezza" aggiunta non avendo i file accessibili a BUILTIN \ Administrators in primo luogo.
A meno che tu non stia usando il controllo (e setacciando un numero potenzialmente enorme di voci false positive) non ci sarà una pista di controllo quando un utente BUILTIN \ Administrators diventa proprietario dei file a cui non dovrebbe accedere, li copia e quindi restituisce i file al proprietario e all'autorizzazione "propri".
Nel mondo Microsoft, Encrypting filesystem (EFS) ha lo scopo di risolvere il problema di impedire l'accesso BUILTIN \ Administrators non autorizzato. Gli ACL NTFS non risolvono questo problema. (Ovviamente, EFS non è l'unico spettacolo in città. La crittografia è la vera risposta alla soluzione del problema "Limita l'accesso dell'amministratore di rete", non importa come lo tagli.)
A mio avviso, non specificare BUILTIN \ Administrators con accesso alle home directory degli utenti (e, di fatto, a qualsiasi cartella) significa che stai aumentando la complessità e il tempo necessari per risolvere i problemi fornendo meno della reale sicurezza ("minore di nessuno "perché impartisce un falso senso di sicurezza dove non ce n'è nessuno).
Ho smesso di provare a vincere l'argomento con le persone per logica. Sembra essere un problema emotivo con alcune persone. È come il ridicolo ACE "Nega / Ricevi come" che viene inserito nella radice di un'organizzazione di Exchange per impedire ad alcuni gruppi privilegiati di aprire le cassette postali degli utenti. Non offre alcuna sicurezza reale (poiché senza l'audit si potrebbe rimuovere / riapplicare l'ACE secondo necessità), un falso senso di sicurezza e si mette in mezzo quando si risolvono problemi reali.
Anche se non vi piace la mia tesi su BUILTIN \ Administrators avere accesso che si desidera mantenere la gerarchia di ereditarietà intatta utilizzando "Solo la cartella" eredità, se del caso. Il blocco dell'ereditarietà nelle gerarchie di autorizzazioni è un segno sicuro che qualcosa nel progetto è "rotto" (invertito, ecc.).