这应该非常简单。我将我的文档文件夹重定向到名为 //dc/documents 的共享。它会在此共享下为每个人创建一个文件夹,然后在该共享下为我的文档创建一个文件夹。此 //dc/documents 共享上的安全权限如下:
- 共享权限:
- 所有人 - 完全控制
- 所有人 - 完全控制
- NTFS 权限:
- 所有人(仅限此文件夹)- 列出文件夹/读取数据、读取属性、读取扩展属性、读取权限
- 创建者所有者(仅限子文件夹和文件)- 完全控制
- 系统(此文件夹、子文件夹和文件)- 完全控制
- 管理员(此文件夹、子文件夹和文件)- 完全控制
- 域管理员(此文件夹、子文件夹和文件)- 完全控制
当我登录 PDC 上的内置管理员帐户时,问题就出现了。虽然该帐户属于域管理员和管理员组,但我无权查看子文件夹和文件。我没有看到任何继承的权限可以阻止我在这些文件夹中执行任何操作。打开文件夹时,我需要按下某个神奇的按钮吗?这变得越来越令人沮丧。
答案1
您已在文件夹重定向设置的“设置”选项卡上勾选了“授予用户独占权限...”框。关闭该选项后,文件夹重定向客户端扩展 (CSE) 将在其创建的文件夹的权限中添加“管理员”。
就我个人而言,我为用户预先创建了子文件夹,因为文件夹重定向 CSE 会禁用其创建的子文件夹的继承(我认为这是一件坏事TM)。如果您预先创建文件夹并将“用户/完全控制”添加到子文件夹,文件夹重定向 CSE 将很顺利,并将保持文件夹的继承层次结构不变。
如果您想“修复”已有的文件夹,可以使用icacls
脚本中的实用程序之类的东西来清理权限。假设所有子文件夹都以用户的 samAccountNames 命名,您可以执行以下操作:
FOR /D %%d in (E:\Home Directories\*) DO (
TAKEOWN /f "E:\Home Directories\%%d" /r /d y
ICACLS "E:\Home Directories\%%d" /reset /T
ICACLS "E:\Home Directories\%%d" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%%d" /setowner "MYDOMAIN\%userDir%" /T
)
这将再次为您提供一个漂亮、干净的继承层次结构,其中用户在每个子文件夹中指定了“完全控制”权限。
答案2
通过 GPO 配置文件夹重定向时,有一个选项可以授予用户对重定向文件夹的独占访问权限。默认情况下,此选项处于启用状态,我怀疑即使您尝试在父级授予权限,此 GPO 设置也会导致问题。即使您似乎已在父级设置了正确的权限,但由于 GPO 设置,Windows 正在删除这些权限,因为重定向文件夹正在创建中。
如果您更改 GPO 设置,它将对所有新创建的文件夹生效,但不会对现有文件夹生效。解决此问题的最简单方法可能是取消选中 GPO 选项,备份数据,删除现有文件夹,让 Windows 重新创建文件夹,然后恢复数据。
答案3
您确定您只是遇到了 UAC 问题吗?
UAC 会过滤掉您对管理员组的使用,以保护您。
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx