Izin NTFS untuk root share yang menampung Home Direktori Windows Server 2008 R2

9

Saya menggunakan Tab Profil AD untuk secara otomatis membuat Direktori Rumah di \\server\home, sehingga izin dibuat secara otomatis.

Apa yang seharusnya menjadi izin NTFS untuk folder aktual tempat direktori home dibuat ( \\server\home)?

Juga, izin berbagi selalu Semua Orang :: Akses Penuh karena saya mengontrol akses aktual dengan izin NTFS; apakah itu metode yang benar?

windows permissions directory home-directory Gregg
sumber

Jawaban:

14

Ini yang saya miliki di favorit saya untuk referensi:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

  • PEMILIK CREATOR - Kontrol Penuh (Berlaku ke: Subfolder dan File Saja)
  • Sistem - Kontrol Penuh (Berlaku pada: Folder ini, Subfolder dan File)
  • Admin Domain - Kontrol Penuh (Berlaku ke: Folder, Subfolder dan File ini)
  • Semua Orang - Buat Folder / Tambahkan Data (Berlaku ke: Hanya Folder Ini)
  • Semua Orang - Daftar Folder / Baca Data (Berlaku ke: Hanya Folder Ini)
  • Semua Orang - Baca Atribut (Berlaku ke: Hanya Folder Ini)
  • Semua Orang - Melintasi Folder / Menjalankan File (Berlaku ke: Hanya Folder Ini)

Ini juga merekomendasikan pengaturan izin berbagi sebagai:

  • Semuanya - Kontrol Penuh
Dan
sumber
6

Ini didokumentasikan di sini:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx 

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Dan Anda harus lebih lanjut mengedit ACE untuk Pengguna yang Diotentikasi sehingga hanya berlaku untuk Folder Ini Saja.

Greg Askew
sumber
2

Memperluas jawaban @ Dan ...

Setuju Pencipta Pemilik, tapi saya tidak pernah memberikan FC kepada pengguna. Hal ini memungkinkan mereka untuk mengatur DACL mereka sendiri, yang, dalam pengalaman saya membawa dunia kesakitan, ketika pengguna daya aneh (baca "rasa sakit di ar $ e) menghapus izin untuk SISTEM, sehingga menghentikan Anda membuat cadangan file mereka. Jadi , biasanya membatasi pengguna data ke Modify (perubahan dalam istilah sekolah lama).

SISTEM: FC, ya.

Admin Domain: Tidak. Tentukan grup administrator lokal server.

Semuanya: Mengapa? Secara pribadi tidak akan pernah menggunakan "Semua Orang", karena termasuk pengguna yang tidak diautentikasi.

Izin berbagi - setuju. Mereka hanya berfungsi untuk membingungkan permintaan akses.

Simon Catlin
sumber
2
Apakah ini jawaban untuk pertanyaan awal, atau komentar sebagai tanggapan terhadap @Dan? Saya sarankan membuat rekomendasi Anda sebagai jawaban yang berdiri sendiri untuk pertanyaan awal. Jika Anda memiliki komentar pada tanggapan @ Dan, buat komentar secara terpisah sebagai komentar. Jawaban Anda tidak akan disajikan dalam urutan kronologis, dan seharusnya tidak tergantung pada jawaban orang lain untuk konteks.
Skyhawk
1

Saya setuju lebih baik untuk mengontrol akses di tingkat NTFS daripada tingkat berbagi, tetapi terlepas dari apakah Anda memberi mereka Kontrol Penuh, pengguna akan selalu dapat mengatur izin pada file yang mereka buat karena mereka kemudian pemiliknya.

Jika Anda ingin mencegah mereka mengubah izin bahkan pada objek yang mereka miliki, buat izin pada bagian Ubah (untuk Semua Orang) alih-alih Penuh.

Maka Anda mungkin juga memberi mereka Full (NTFS) pada direktori home mereka sendiri sehingga jelas apa yang terjadi.

Tony Lezard
sumber