Autorizzazioni NTFS per la condivisione principale che ospita directory home Windows Server 2008 R2


9

Sto utilizzando la scheda Profilo AD per creare automaticamente home directory in \\server\home, in modo che le autorizzazioni vengano create automaticamente.

Quali dovrebbero essere le autorizzazioni NTFS per la cartella effettiva in cui vengono create le home directory ( \\server\home)?

Inoltre, le autorizzazioni di condivisione sono sempre Everyone :: Accesso completo poiché controllo l'accesso effettivo con autorizzazioni NTFS; è quello il metodo corretto?

Risposte:


14

Questo è ciò che ho tra i miei preferiti come riferimento:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

  • PROPRIETARIO CREATORE - Controllo completo (Applica a: Solo sottocartelle e file)
  • Sistema - Controllo completo (Applica a: questa cartella, sottocartelle e file)
  • Domain Admins - Controllo completo (Applica a: questa cartella, sottocartelle e file)
  • Tutti - Crea cartella / Aggiungi dati (Applica a: solo questa cartella)
  • Tutti - Elenca cartella / Leggi dati (Applica a: solo questa cartella)
  • Everyone - Leggi attributi (Applica a: solo questa cartella)
  • Tutti - Attraversa cartella / Esegui file (Applica a: solo questa cartella)

Si consiglia inoltre di impostare le autorizzazioni di condivisione come:

  • Tutti - Controllo completo


2

Espandendo la risposta di @ Dan ...

Accetto il proprietario del creatore, ma non concedo mai FC agli utenti. Ciò consente loro di impostare i propri DACL, che, nella mia esperienza, creano un mondo di dolore, quando l'utente dispari di potere (leggi "pain in the ar $ e) rimuove le autorizzazioni per SYSTEM, impedendo così il backup dei loro file. , limita normalmente l'utente dei dati a Modifica (modifica nel linguaggio della vecchia scuola).

SISTEMA: FC, sì.

Domain Admins: No. Specificare il gruppo di amministratori locali del server.

Tutti: perché? Personalmente non utilizzerei mai "Tutti", poiché include utenti non autenticati.

Condividi le autorizzazioni - accetta. Servono solo a confondere le query di accesso.


2
È una risposta alla domanda originale o un commento in risposta a @Dan? Suggerirei di rendere i tuoi consigli una risposta autonoma alla domanda originale. Se hai commenti sulla risposta di @ Dan, rendili separatamente come commenti. La tua risposta non sarà presentata in ordine cronologico e non dovrebbe dipendere dalla risposta di qualcun altro per il contesto.
Skyhawk,

1

Sono d'accordo che è meglio controllare l'accesso a livello NTFS piuttosto che a livello di condivisione, ma indipendentemente dal fatto che si dia loro il controllo completo, gli utenti saranno sempre in grado di impostare le autorizzazioni sui file che creano perché sono quindi il proprietario.

Se si desidera impedire loro di modificare le autorizzazioni anche sugli oggetti di loro proprietà, apportare le autorizzazioni sulla condivisione Modifica (per tutti) anziché su Completo.

Quindi potresti anche dargli Full (NTFS) nella loro home directory, quindi è ovvio cosa sta succedendo.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.