在 Windows Active Directory 中创建用户主文件夹所需的最低权限

在 Windows Active Directory 中创建用户主文件夹所需的最低权限

我们希望帮助台负责创建用户主文件夹,而不是我们的二级支持。帮助台全局组已经是帐户操作员,因此在 Active Directory 中,他们可以很好地编辑所有用户属性。

问题在于找出文件服务器上创建家庭共享所需的最低权限级别,而无需授予他们访问每个人家庭共享的权限。

因此,如果他们打开 AD 用户和计算机,打开用户的属性,并在配置文件选项卡中输入 \home\users\%username%,然后单击确定,他们就会收到以下错误。

\home\users\username 主文件夹未创建,因为您没有服务器上的创建权限。用户帐户已使用新的主文件夹值更新,但您必须在获得所需的访问权限后手动创建目录。

目前,我已授予 Helpdesk 组对根文件夹的完全控制权(无文件或子目录)

目录确实创建了,但是新创建文件夹的权限仅显示管理员完全控制,而没有配置的用户帐户的权限。

这听起来确实像是我必须让帮助台成为文件服务器上的本地管理员,而这正是我想要避免的。尤其是因为文件服务器是一个大型集群,托管的内容远远超过整个组织主页共享结构。

答案1

您可以使用以下批处理脚本:华人会计师协会。此工具基本上类似于“runas”,只是有一个选项可以以“编码”形式(即难以读取,但不加密)传递特权帐户的密码。

该脚本将位于共享的根目录中,帮助台必须使用“用户名”等参数运行该脚本。CPAU 工具将在提升的上下文中运行文件夹创建(可能是对 HomeDirs 文件夹具有修改权限的本地登录)。

等等。你需要花点心思来安排好这一切。

答案2

看起来它是共享权限。

他们也需要拥有完全控制权,而不仅仅是读写权。

我真的不想授予完全控制权,即使是根文件夹,因为这会允许他们做比我真正希望他们能够做的更多的事情。但只要他们不能真正打开其他人的主目录,那就没问题了。

相关内容