我在使用 Server 2008 R2 设置漫游配置文件时遇到了一些问题。以下是我在漫游配置文件共享上设置的权限:
共享权限
Administrators - Full
SYSTEM - Full
Authenticated Users - Full
NTFS 权限
Administrators - Full
CREATOR OWNER - Full
SYSTEM - Full
Authenticated Users - List Folder/Read Data, Read, Create Folders/Write Data (This Folder Only)
这似乎没有问题,当用户首次登录时会自动创建配置文件。
我遇到的问题是,我不希望用户能够在漫游配置文件共享中创建文件夹,但如果我删除该权限,则不会创建任何内容。
答案1
如果您希望用户在首次登录时创建配置文件文件夹,那么您将无法使用这些权限。在将用户登录/注销时的配置文件文件夹同步到配置文件共享时,将使用用户的安全设置,因此如果用户没有权限在配置文件共享上创建文件夹,那么您就会遇到问题。
不幸的是,没有办法授予用户仅创建自己的文件夹的权限,而不能创建其他文件夹。
我认为解决这个问题的方法是,在用户首次登录之前,在配置文件共享中预先为用户创建配置文件文件夹(并授予每个用户对其自己的配置文件文件夹的完全权限)。这样,用户只需要遍历/读取配置文件共享(仅限此文件夹)内容的权限。
请注意,我的经验是使用 Win2k 和 Win2k3(目前),而不是 Win2k8,但我认为应该不会有太大不同。
答案2
这个问题很难给出正确的答案,因为有几种方法可以解决这个问题,而且你必须理解漫游配置文件的概念。并不是说你不理解。
您可以并且经常想要做的是创建策略来重定向某些文件夹,例如“我的文档”、“桌面”和其他文件夹。我喜欢做的是在服务器数据目录中创建一些目录。如下所示:
D:\用户\RoamingProfiles
D:\用户\Homedir
D:\用户\桌面
或类似的东西。
因此,如果您在 Active Directory 中正确实施了漫游配置文件策略,则当用户登录到他们的桌面时。 您可以完全控制该用户的桌面。 在企业环境中,您可能想要做的是:
创建标准用户配置文件作为新漫游配置文件的模板。锁定桌面并仅显示您在模板中提供的程序的图标。确保如果用户想要创建文件夹或文件,请将其重定向到主目录或企业数据目录。例如:在他们的工作站上,H:\ 是他们在服务器上的主目录。M:\ 是企业数据目录。
有关如何使用 Active Directory 和策略的更多信息,请参阅 MSDN 网站。
我希望这有帮助。