我想在用户主目录上设置 NTFS 权限,以便一个用户无法访问另一个用户的主目录。我该怎么做?我需要能够同时将其应用于数百个用户。能够批量应用权限会很棒。我有一个 UserProfiles 文件夹,其中包含所有用户的主目录。创建主目录时会自动发生这种情况吗?
我在某处读到我可以使用 %username% 变量,但我不知道该怎么做。我不确定这是否可行。
我刚刚开始从事服务器管理。
答案1
我是一个持反对态度的人,我认为微软允许客户端计算机自动创建配置文件文件夹的内置功能是错误的。(在我看来,在服务器上拥有一个全球可写的文件夹是一个安全问题。)这也给了我一个借口来谈论我如何处理 Windows Server 计算机上的用户数据存储。
我要提醒的是,下面我讨论的所有操作都是通过配置脚本完成的,但你完全可以手动完成。不过,对于任何大量用户来说,编写一个简单的批处理脚本都是有意义的。
我爱这文件夹重定向组策略中的功能以及漫游用户配置文件,您可以接近无状态客户端计算机。这意味着在服务器计算机上创建文件夹层次结构来处理用户数据文件夹的存储。多年来,我想出了一种方式来做到这一点,我认为这种方式可以提供出色的系统管理员用户体验。(您提到您是新手——您一定要花点时间阅读这些功能的工作原理——“未来的您”会很高兴您这样做。)
我在服务器计算机上创建了一个共享文件夹,类似于“用户”,顶级权限为“管理员/完全控制”、“系统/完全控制”和“验证用户/列出文件夹内容 - 仅限此文件夹”。这允许非特权用户枚举文件夹的内容,但避免需要阻止较低级别的权限继承(这是总是这表明您的设计“颠倒了”,并限制了您未来的灵活性)。
如果我对用户帐户进行了顶层划分(“员工”与“承包商”、“学生”与“教师”等),我可能会在顶层文件夹中执行此操作(但要注意的是,我不会对可能随频率变化的分类执行此操作,因为移动用户的“资料”很麻烦)。这可能会使文件夹重定向组策略变得更复杂,因此除非您需要,否则我会避免这样做。
我为每个用户帐户创建一个子文件夹(根据其用户名命名),并将“用户/完全控制”权限应用于子文件夹。这是我应用的唯一权限。
在用户的文件夹下,我为他们的重定向文件夹(“AppData”、“Desktop”、“Documents”等)和“Profile.V2”(如果我仍然需要 Windows XP 兼容性,则为“Profile”)创建子文件夹:
[ ] - [ Users ]
|
- [ EAnderson ] (<-- Permission EAnderson/Full Control applied here)
|
- [ AppData ]
|
- [ Desktop ]
|
- [ Documents ]
|
- [ Profile ]
|
- [ Profile.V2 ]
在手动环境中,我使用的工作流程是首先在 AD 中创建用户帐户,而不指定配置文件或主目录路径。然后,我将创建用户的文件夹层次结构,并应用权限,然后返回用户的帐户属性并指定配置文件和主目录路径。EAnderson
在此示例中,路径将设置为:
- 轮廓:
\\server\Users\EAnderson
- 主目录:
\\server\Users\EAnderson\Documents
当您指定用户的配置文件和主目录位置时,“Active Directory 用户和计算机”工具会“有帮助地”询问您是否要更改文件夹的权限。我总是告诉该工具“否”,因为我不想让它弄乱我精心设置的权限。
我的文件夹重定向策略将按如下方式重定向路径:
- 应用程序数据:
\\server\Users\%username%\AppData
- 桌面:
\\server\Users\%username%\Desktop
- 文件:
\\server\Users\%username%\Documents
在文件夹重定向设置中,我总是取消选中每个重定向条目的“授予用户独占权利...”复选框(因为这也会破坏您精心修剪的权限)。
如果我不得不与仍然使用基于 Windows XP 的计算机的用户抗衡,我也会将“收藏夹”重定向到旧的“配置文件”文件夹,但希望您不必与之抗衡。
警告:必须启用“不检查漫游配置文件文件夹的用户所有权”组策略设置,漫游用户配置文件才能正常工作。早在 Windows XP Service Pack 1(和 Windows 2000 Server Pack 4)中,Microsoft 就决定,默认情况下,操作系统将检查用户是否被指定为其配置文件文件夹的所有者——我不同意这一功能,并通过启用此组策略设置将其消除。
我喜欢使用这种方法存储用户数据,原因如下:
它给了我为每个用户设置的单一权限(或者当我有需要访问旧用户数据的替代用户时重置)。
它为我提供了一个文件夹来评估特定用户对服务器计算机的磁盘空间的影响(因为所有“他们的东西”都存储在该层次结构中)。
它限制了我需要从服务器计算机导出的共享文件夹层次结构的数量(与我使用的“老方法”相反——使用单独的
\\server\profile
、\\server\documents
等层次结构)。