客户端在 AD 设置中将每个用户的主文件夹的文件夹重定向设置为 Z:\ 驱动器,即 \server\share\username。组策略将用户的文档重定向到用户的主文件夹,并选择“授予用户对文档的独占权限”选项。
服务器上的共享具有相关用户安全组的“完全控制”权限,但每个用户的文件夹仅对“创建者所有者”和“域管理员”具有 NTFS 权限。
为什么不同的用户可以访问其他用户的文件夹?我认为最严格的权限在共享和 NTFS 权限之间有效应用。
此外,这种设置多年来一直如此,并且该客户端最近将所有客户端计算机更新为 Windows 7。现在设置此重定向的最佳方法是什么?我假设仅在组策略中,还有基本重定向 - 在根路径下为每个用户创建一个文件夹?
答案1
在其中一个文件夹中,单击“安全”选项卡 >“高级”按钮,您可以使用有效权限工具来准确确定授予特定安全主体的权限。
我怀疑用户可能拥有您不知道的提升权限或权利。这可能是由于无意或不适当的权限分配或组成员身份嵌套而发生的。
gpresult 可以在用户登录的工作站上使用,以获取其实际组成员身份的完整报告。或者,如果您可以访问某个用户最近登录的计算机,则可以运行该程序gpresult /user domain\username /h gpresult.html以从其本地配置文件生成 rsop 数据。