NTFS barındıran kök paylaşım izinleri Windows Server 2008 R2

9

\\server\homeİzinleri otomatik olarak oluşturmak için AD Profil Sekmesini otomatik olarak Ana Dizinler oluşturmak için kullanıyorum .

Giriş dizinlerinin ( \\server\home) içinde oluşturulduğu gerçek klasör için NTFS izinleri ne olmalıdır ?

Ayrıca, NTFS izinleriyle gerçek erişimi denetlediğim için paylaşım izinleri her zaman Everyone :: Tam Erişim'dir; doğru yöntem bu mu?

— Gregg
kaynak

14

Referans için favorilerimde bu var:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

CREATOR OWNER - Tam Denetim (Aşağıdakilere uygulanır: Yalnızca Alt Klasörler ve Dosyalar)
Sistem - Tam Denetim (Uygula: Bu Klasör, Alt Klasörler ve Dosyalar)
Domain Admins - Tam Denetim (Aşağıdakilere uygula: Bu Klasör, Alt Klasörler ve Dosyalar)
Herkes - Klasör Oluştur / Veri Ekle (Uygula: Yalnızca Bu Klasör)
Herkes - Klasörü Listele / Verileri Oku (Uygula: Yalnızca Bu Klasör)
Herkes - Okuma Öznitelikleri (Uygula: Yalnızca Bu Klasör)
Herkes - Klasörü Gez / Dosya Yürüt (Yalnızca bu klasöre uygulanır)

Ayrıca, paylaşım izinlerinin şu şekilde ayarlanmasını da önerir:

Herkes - Tam Denetim

— Dan
kaynak

6

Burada belgelenmiştir:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read

Ayrıca ACE'yi Kimliği Doğrulanmış Kullanıcılar için yalnızca yalnızca Bu Klasör için geçerli olacak şekilde düzenlemelisiniz.

— Greg Askew
kaynak

2

@ Dan'ın cevabı genişliyor ...

İçerik Oluşturucu Sahibi'ni kabul ediyorum, ancak kullanıcılara asla FC vermiyorum. Bu, kendi deneyimimde, tek bir güç kullanıcısı (ar $ e'deki "acıyı oku") SİSTEM izinlerini kaldırdığında, böylece dosyalarınızı yedeklemeyi bıraktığında kendi acı dünyasını getiren kendi DACL'lerini ayarlamalarına izin verir. , normalde verilerin kullanıcısını Değiştir ile sınırlar (eski okul görüşünde değişiklik).

SİSTEM: FC, evet.

Alan Adı Yöneticileri: Hayır. Sunucunun yerel yöneticiler grubunu belirtin.

Herkes: Neden? Kimliği doğrulanmayan kullanıcıları içerdiği için kişisel olarak asla "Herkes" i kullanmaz.

Paylaşım izinleri - kabul edin. Yalnızca erişim sorgularını karıştırmaya yararlar.

— Simon Catlin
kaynak

2

Bu orijinal soruya bir cevap mı yoksa @Dan'a yanıt olarak bir yorum mu? Önerilerinizi orijinal soruya bağımsız bir cevap vermenizi öneririm. @ Dan'ın yanıtı hakkında yorumlarınız varsa, bunları yorum olarak ayrı ayrı yapın. Cevabınız kronolojik sırayla sunulmayacak ve başkalarının bağlam cevabına bağlı olmamalıdır.

— Skyhawk

1

Erişimi paylaşım düzeyinden ziyade NTFS düzeyinde kontrol etmenin daha iyi olduğunu kabul ediyorum, ancak onlara Tam Denetim verip vermediğinizden bağımsız olarak, kullanıcılar oluşturdukları dosyalarda her zaman sahip olduklarından izinleri ayarlayabileceklerdir.

Sahip oldukları nesnelerde bile izinlerini değiştirmelerini önlemek istiyorsanız, Paylaşım (Tam için) yerine Değişiklik (Herkes için) izinlerini yapın.

O zaman onlara kendi ana dizinlerinde Tam (NTFS) verebilirsiniz, böylece neler olduğu açıktır.

— Tony Lezard
kaynak