我正在尝试(但没有成功)获取有关在服务器 2012 上设置用户主文件夹\目录权限的帮助。我想知道的是我需要什么权限,以便每个用户可以访问他/她的文件等,但不能查看\访问其他用户的主文件夹。
我已经在服务器上创建了名为“用户资料“和”UserData“。当用户首次登录时,他们的主文件夹将作为“UserData”文件夹中的子文件夹创建,即\server01\UserData$\%用户名%
答案1
除非 2012 年出现重大变化,否则以下做法应该可行。
将服务器上的共享(在您的情况下为 UserData$)设置为管理员/域管理员的完全控制权,并将所有人的权限设置为“更改和读取”。
在 NTFS 文件夹“UserData”上,明确设置权限而不进行继承,并且仅授予域管理员完全控制权,以及域管理员之外需要查看所有文件夹的任何人。
然后,当您在 AD 中创建用户并设置其主文件夹时,该子文件夹 %username% 将自动被授予该用户的完全控制权。由于他们可以遍历 UserData 文件夹以将驱动器映射到 \server01\UserData$\%username%,因此他们只能访问该文件夹。将驱动器映射到 \server01\UserData$ 对他们来说毫无用处。
多年来我们一直都是这么做的。
现在有了 2012,您可以轻松启用 ABEhttp://heineborn.com/tech/enable-access-based-enumeration-in-windows-server-2012/用户只能看到他们有权访问的文件夹,但如果您执行上述操作,这甚至没有必要。
答案2
好吧,这里有一个答案…… Flamebait 哈哈……既然你们行业中有一些逻辑颠倒的落后人士,那就从相反的角度思考吧。因此,在将权限限制在较低级别之前,请先授予您真正不希望用户拥有的较高级别的权限。与 NT 不同,开箱即用,当您创建用户并设置他们的主文件夹时,默认情况下他们将无法写入它。当您查看权限以尝试找出原因时,没有任何迹象表明它不应该工作。但是,当您被告知系统文件位于启动分区并且启动文件位于系统分区时,您可以理解为什么它不合情理。那些说你把车停在车道上而车道停在公园大道上的人也在掌管一切。解决这个问题,你就会解决世界上的问题。:0)