Autorizzazioni NTFS per la condivisione principale che ospita directory home Windows Server 2008 R2

9

Sto utilizzando la scheda Profilo AD per creare automaticamente home directory in \\server\home, in modo che le autorizzazioni vengano create automaticamente.

Quali dovrebbero essere le autorizzazioni NTFS per la cartella effettiva in cui vengono create le home directory ( \\server\home)?

Inoltre, le autorizzazioni di condivisione sono sempre Everyone :: Accesso completo poiché controllo l'accesso effettivo con autorizzazioni NTFS; è quello il metodo corretto?

— Gregg
fonte

14

Questo è ciò che ho tra i miei preferiti come riferimento:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

PROPRIETARIO CREATORE - Controllo completo (Applica a: Solo sottocartelle e file)
Sistema - Controllo completo (Applica a: questa cartella, sottocartelle e file)
Domain Admins - Controllo completo (Applica a: questa cartella, sottocartelle e file)
Tutti - Crea cartella / Aggiungi dati (Applica a: solo questa cartella)
Tutti - Elenca cartella / Leggi dati (Applica a: solo questa cartella)
Everyone - Leggi attributi (Applica a: solo questa cartella)
Tutti - Attraversa cartella / Esegui file (Applica a: solo questa cartella)

Si consiglia inoltre di impostare le autorizzazioni di condivisione come:

Tutti - Controllo completo

— Dan
fonte

6

È documentato qui:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Inoltre, è necessario modificare ulteriormente l'ACE per gli utenti autenticati in modo che si applichi solo a questa cartella.

— Greg Askew
fonte

2

Espandendo la risposta di @ Dan ...

Accetto il proprietario del creatore, ma non concedo mai FC agli utenti. Ciò consente loro di impostare i propri DACL, che, nella mia esperienza, creano un mondo di dolore, quando l'utente dispari di potere (leggi "pain in the ar $ e) rimuove le autorizzazioni per SYSTEM, impedendo così il backup dei loro file. , limita normalmente l'utente dei dati a Modifica (modifica nel linguaggio della vecchia scuola).

SISTEMA: FC, sì.

Domain Admins: No. Specificare il gruppo di amministratori locali del server.

Tutti: perché? Personalmente non utilizzerei mai "Tutti", poiché include utenti non autenticati.

Condividi le autorizzazioni - accetta. Servono solo a confondere le query di accesso.

— Simon Catlin
fonte

2

È una risposta alla domanda originale o un commento in risposta a @Dan? Suggerirei di rendere i tuoi consigli una risposta autonoma alla domanda originale. Se hai commenti sulla risposta di @ Dan, rendili separatamente come commenti. La tua risposta non sarà presentata in ordine cronologico e non dovrebbe dipendere dalla risposta di qualcun altro per il contesto.

— Skyhawk,

1

Sono d'accordo che è meglio controllare l'accesso a livello NTFS piuttosto che a livello di condivisione, ma indipendentemente dal fatto che si dia loro il controllo completo, gli utenti saranno sempre in grado di impostare le autorizzazioni sui file che creano perché sono quindi il proprietario.

Se si desidera impedire loro di modificare le autorizzazioni anche sugli oggetti di loro proprietà, apportare le autorizzazioni sulla condivisione Modifica (per tutti) anziché su Completo.

Quindi potresti anche dargli Full (NTFS) nella loro home directory, quindi è ovvio cosa sta succedendo.

— Tony Lezard
fonte