使用 ADUC 时将新用户主文件夹的所有者设置为用户而不是 BUILTIN\Administrators(在 Windows Server 2008 R2 上)

使用 ADUC 时将新用户主文件夹的所有者设置为用户而不是 BUILTIN\Administrators(在 Windows Server 2008 R2 上)

在我们的 AD 中,我们通过复制 ADUC 中的默认用户来创建新用户。对于默认用户,我们使用 %USERNAME% 变量(映射到 H:)指定主文件夹:\fileserver\homes\%USERNAME%

对于新用户,服务器上的主文件夹会自动创建,并将 BUILTIN\Administrators 设置为所有者。但我们需要将用户设置为所有者。我们该如何实现这一点?

父文件夹(homes)上设置的权限如下:

CREATOR OWNER         Full            Subfolders and files only
g_admins              Full            This folder, subfolders and files
SYSTEM                Full            This folder, subfolders and files
Authenticated Users   Read, Append    This folder only
(Owner: g_admins)

答案1

为什么?你的权限似乎也很奇怪。假设你没有更改“绕过遍历检查”的默认服务器行为,那么你所需要的只是:

\文件服务器\主页

  • 域管理员 = 完整

  • G_Admins = 完整

当您在 ADUC 中创建用户并分配其主驱动器时:

\文件服务器\homes\%用户名%

它应该将这些权限设置为:

  • 域管理员 = 完整
  • G_Admins = 完整
  • %username% = 完整(无论用户的登录 ID 是什么)

如果您希望经过身份验证的用户对每个人的主文件夹具有读取权限,则将他们添加到具有读取权限的 \fileserver\homes 文件夹中。


但也许您的设置是有原因的...只是向您展示我将如何去做。

答案2

您需要将 CREATOR OWNER 安全原则添加到您的“homes”文件夹,并为其分配您希望用户在创建其主文件夹时最终拥有的任何权限。这将自动将他们设置为所有者并预设他们的权限。

请注意,作为最佳实践,您应该授予用户修改权限而不是完全权限,即使对于他们自己的文件也是如此。我见过的一个常见问题是,“精明”的用户会进入并从他们的文件中删除系统和管理员权限,这最终会阻止他们的文件备份,甚至可能影响配额的执行或服务器管理员所做的其他维护。

相关内容