我在“\\corp\content\”上有一个 DFS 共享,其中有一个名为 Personal 的文件夹。所有者权限、域管理员和系统都拥有此文件夹的全部权限,经过身份验证的用户可以创建文件夹、读取属性和权限。
我有一个组策略,将桌面上所有可能的文件夹重定向到此共享,例如 \\corp\content\testuser\desktop。这些策略适用于 XP,但不授予用户独占权限。
当用户首次登录(在 XP 上)时,他们会按预期创建一个文件夹,并且该文件夹具有适当的权限。但是,当它进入“开始”菜单时,它会创建 \\corp\content\personal\testuser\Start Menu\Programs,并且此文件夹缺少所有者权限的任何权限(这些权限似乎不会被继承)。但是 \\corp\content\personal\testuser\Start Menu\ 确实具有预期的权限。然后组策略失败,因为它无法将数据复制到已创建的目录中。
此错误并非特定于“开始”菜单,因为禁用该错误会导致应用程序数据中出现类似错误。服务器是 Windows Server 2008r2 Ent,客户端是 Windows XP。当 GPO 规定应授予独占权限时,重定向将按预期运行。
我的目标是让域管理员组能够读取由文件夹重定向创建的文件夹(出于备份和帮助台要求)。
有谁完成过这个或者知道什么可能导致上述错误吗?
根据要求,与文件夹重定向相关的 gpresult 部分:
Folder Redirection
------------------
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\application data
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu\Programs\Startup
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\desktop
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\pictures
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu\Programs
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\documents
答案1
我不允许 Windows 客户端创建重定向文件夹。坦率地说,在我看来,在服务器计算机上拥有一个全球可写的文件夹,任何用户帐户都可以在其中创建子文件夹,这似乎是一种潜在的 DoS 攻击。(客户端创建这种重要文件夹的整个概念在我看来是脑残的——打破权限继承层次结构并指定“用户/完全控制”的默认行为也是如此。微软中想出这种行为的人一定是脑子有问题,显然不管理生产文件服务器。)
当我配置用户帐户(通过脚本)时,我还会在正确的位置创建重定向的桌面、应用程序数据和我的文档文件夹(我没有在任何地方进行“开始菜单”重定向,但它应该具有类似的功能),并在创建文件夹后立即向其添加“用户/完全控制”ACL。任何重定向文件夹层次结构的父目录都已指定“管理员/完全控制”和“经过身份验证的用户/列出文件夹内容 - 仅限此文件夹”。我最终得到了一个干净的权限继承层次结构,没有可全局写入的文件夹。
对我来说,使用 Windows 2000 到 Windows 7 客户端效果很好。我不介意配置,因为我是通过脚本进行的,这让我很开心不是在我的服务器计算机上有一个全世界可写的文件夹。
答案2
确保设置符合此链接