一些背景知识:
我们目前使用 Windows Server 2003 和 AD 来控制用户及其数据(我们计划在不久的将来更新到 Server 2008 R2,但由于政治原因不会立即更新。希望解决方案能够顺利转移到 2008 年)。用户的漫游配置文件文件夹(Windows XP 和 Windows 7 文件夹)存储在我们称之为“Windows_Home”的网络共享上。我读过这篇文章:http://technet.microsoft.com/en-us/library/cc737633%28v=ws.10%29.aspx,这是来自 Microsoft 的“安全建议”文章,并将“父文件夹”权限仅应用于“Windows_Home”文件夹(当我尝试此操作时,它下面的某些子文件夹拒绝了我的权限,因此我想我将以管理员身份单独拥有每个文件夹的所有权,然后再次在父级上重新应用权限,以便将它们完全传递下去?然后将原始所有者重新应用于该文件夹,生活应该很好?)。
据我所知,每个人的文件夹目前都从父文件夹继承,但有些文件夹具有我不知道的其他权限。应该只这样(只从父文件夹“Windows_Home”继承),还是每个人的文件夹都不应继承权限并拥有自己的权限集(尽管每个文件夹的权限都相同,即管理员 + 所有者 + 系统具有完全控制权)?
如果只是继承,这是否也会影响以不同用户身份查看他人文件夹的能力?例如,用户“jhendrix”和“tpetty”有自己的“user.V2”文件夹,当前可以查看该文件夹,并由对方创建和打开文件/文件夹。因此,tpetty 可以通过网络导航到 jhendrix.V2 并阅读他的文档和制作文件,反之亦然。是否可以在父文件夹级别将其更改为“只有子文件夹的所有者和管理员可以访问此文件夹,其他人则不能访问?”或者只能在每个文件夹上单独执行此操作,这会非常烦人?
简而言之,目标是根据 Technet 文章中关于父文件夹和用户文件夹的内容获得 Microsoft 推荐的漫游配置文件权限,只有文件夹的所有者(当然是域用户)、SYSTEM 和管理员才能完全访问文件夹及其内容(因此我们不会遇到任何临时配置文件或部分同步配置文件的问题),而所有其他用户在尝试导航到文件夹时都会收到“无法访问文件夹”消息。我应该怎么做才能更接近这个目标?我已经做到了吗?需要指导,非常感谢!
答案1
每次阻止继承时,您都会切断未来的灵活性。我尽量避免阻止继承。您对此感到担忧是正确的。
我一直认为微软关于此功能的建议是错误的。它们似乎根本不代表现实世界的部署场景。我认为,至少,通过在如此重要的文件夹层次结构的顶部授予用户“创建子文件夹”权限,可能会引发拒绝服务攻击。我相信用户配置文件文件夹(和其他每个用户的文件夹)需要作为帐户配置的一部分预先创建。
我对用户配置文件(和其他每个用户文件夹)的标准操作程序如下:
您需要用户能够列出顶层文件夹的内容,因此我使用以下权限:
- 系统 - 完全控制 - 应用于此文件夹、子文件夹和文件
- BUILTIN\Administrators - 完全控制 - 应用于此文件夹、子文件夹和文件
- BUILTIN\Authenticated Users(或更严格的组,如果可用)- 读取和执行 - 仅适用于此文件夹
做记录:应设置最后一个权限不是继承至子文件夹(即应用于“仅限此文件夹”)。此权限允许客户端枚举顶级文件夹的内容,但由于它不会继承至子文件夹或文件,因此不会授予对子文件夹的任何访问权限。
每个子文件夹的继承都保持启用状态。我只需添加对该子文件夹具有“完全控制”权限的用户即可。
您也可以通过脚本执行此操作:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "x:\Windows_Home\%userDir%" /r /d y
ICACLS "x:\Windows_Home\%userDir%" /reset /T
ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F
ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T
您需要启用组策略设置“不检查漫游配置文件文件夹的用户所有权”,以防止客户端计算机抱怨配置文件文件夹不属于用户。我也将此设置为全域标准操作程序的一部分。