考虑改变我们管理漫游配置文件、主驱动器和文件夹重定向的方式。
我们上一个系统管理员很懒,设置每个人都可以访问所有东西,以避免设置文件夹权限的麻烦。
我希望在 AD 中设置路径时自动创建这些文件夹。目前,主文件夹创建得很好,但是创建配置文件时,我需要拥有每个文件夹的所有权才能查看/修改文件,这很麻烦,而且长期来看不可行。
我已为这些功能设置了 3 个共享,并具有以下权限
主页商店和个人资料商店
安全:
创建者所有者 - 完整
域管理员 - 完整经过
身份验证的用户 - 读取
共享:
经过身份验证的用户(仅限此文件夹) - 完整
域管理员 - 完整
系统 - 完整
FolderStore
创建者 所有者 - 完整
域管理员 - 完整
经过身份验证的用户 - 读取
共享:
所有人(仅限此文件夹) - 完整
域管理员 - 完整
系统 - 完整
这些设置正确吗?我知道管理员访问用户文件存在问题,但我们是一家小公司,经常有人要求我这样做。
答案1
如果不解析您列出的权限(因为它让我感到难受),我建议遵循这篇文章:
http://technet.microsoft.com/en-us/library/cc737633(WS.10).aspx
此外,在组策略中,有一个设置可以将管理员安全组添加到漫游配置文件中,这将授予管理员组对漫游配置文件的适当权限,从而无需您在访问配置文件时拥有所有权,这最终肯定会导致问题。
注1:上述GP设定只会影响新创建的配置文件,而不会影响现有的配置文件。
注2:GP设置需要在适用于客户端计算机对象的GPO中设置,而不是配置文件服务器计算机对象。