在我们的 AD 中,我们通过复制 ADUC 中的默认用户来创建新用户。对于默认用户,我们使用 %USERNAME% 变量(映射到 H:)指定主文件夹:\fileserver\homes\%USERNAME%
对于新用户,服务器上的主文件夹会自动创建,并将 BUILTIN\Administrators 设置为所有者。但我们需要将用户设置为所有者。我们该如何实现这一点?
父文件夹(homes)上设置的权限如下:
CREATOR OWNER Full Subfolders and files only
g_admins Full This folder, subfolders and files
SYSTEM Full This folder, subfolders and files
Authenticated Users Read, Append This folder only
(Owner: g_admins)
答案1
为什么?你的权限似乎也很奇怪。假设你没有更改“绕过遍历检查”的默认服务器行为,那么你所需要的只是:
\文件服务器\主页
域管理员 = 完整
G_Admins = 完整
当您在 ADUC 中创建用户并分配其主驱动器时:
\文件服务器\homes\%用户名%
它应该将这些权限设置为:
- 域管理员 = 完整
- G_Admins = 完整
- %username% = 完整(无论用户的登录 ID 是什么)
如果您希望经过身份验证的用户对每个人的主文件夹具有读取权限,则将他们添加到具有读取权限的 \fileserver\homes 文件夹中。
但也许您的设置是有原因的...只是向您展示我将如何去做。
答案2
您需要将 CREATOR OWNER 安全原则添加到您的“homes”文件夹,并为其分配您希望用户在创建其主文件夹时最终拥有的任何权限。这将自动将他们设置为所有者并预设他们的权限。
请注意,作为最佳实践,您应该授予用户修改权限而不是完全权限,即使对于他们自己的文件也是如此。我见过的一个常见问题是,“精明”的用户会进入并从他们的文件中删除系统和管理员权限,这最终会阻止他们的文件备份,甚至可能影响配额的执行或服务器管理员所做的其他维护。