ホームディレクトリWindows Server 2008 R2を格納するルート共有のNTFSアクセス許可
ADプロファイルタブを使用して\\server\homeでホームディレクトリを自動作成しているため、権限が自動的に作成されます。
(\\server\home)でホームディレクトリが作成される実際のフォルダーに対するNTFSアクセス許可はどのようにする必要がありますか?
また、実際のアクセスはNTFSアクセス許可で制御しているため、共有アクセス許可は常にEveryone ::フルアクセスです。それは正しい方法ですか?
これは私が参照のために私のお気に入りに持っているものです:
http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx
- CREATOR OWNER-フルコントロール(適用先:サブフォルダーとファイルのみ)
- システム-フルコントロール(適用先:このフォルダー、サブフォルダー、ファイル)
- ドメイン管理者-フルコントロール(適用先:このフォルダー、サブフォルダー、ファイル)
- 全員-フォルダの作成/データの追加(適用先:このフォルダのみ)
- 全員-フォルダのリスト/データの読み取り(適用先:このフォルダのみ)
- 全員-属性の読み取り(適用先:このフォルダーのみ)
- 全員-フォルダーのトラバース/ファイルの実行(適用先:このフォルダーのみ)
また、共有権限を次のように設定することをお勧めします。
- 全員-フルコントロール
それはここに文書化されています:
Administrators: Full Control
System: Full Control
Creator Owner: Full Control
Authenticated Users: Read & Execute, List Folder Contents, Read
さらに、認証されたユーザーのACEをさらに編集して、このフォルダーにのみ適用されるようにする必要があります。
@ダンの答えを拡張しています...
クリエイターの所有者に同意しますが、ユーザーにFCを付与することはありません。これにより、彼らは独自のDACLを設定できます。私の経験では、奇妙なパワーユーザー(「ar $ eの痛み」を読む)がSYSTEMのアクセス許可を削除すると、ファイルのバックアップが停止します。 、通常、データのユーザーを変更(旧式の用語では変更)に制限します。
システム:FC、はい。
ドメイン管理者:いいえ。サーバーのローカル管理者グループを指定します。
みんな:なぜ?認証されていないユーザーも含まれるため、個人的にはとにかく「Everyone」を使用することはありません。
共有許可-同意します。アクセスクエリを混乱させるだけです。
共有レベルではなくNTFSレベルでアクセスを制御する方が良いことに同意しますが、フルコントロールを付与するかどうかに関係なく、ユーザーは自分が所有者であるため、作成したファイルに常にアクセス許可を設定できます。
所有しているオブジェクトに対しても権限を変更できないようにする場合は、共有の権限をフルではなく変更(全員の場合)にします。
次に、自分のホームディレクトリにフル(NTFS)を与えると、何が起こっているのかが明確になります。