我工作的地方的一名用户离开了公司,我们从 AD 中删除了他的帐户,然后他又回来了……现在他的重定向配置文件存在,但文件夹上的权限错误。我向同事询问了这个问题,根据我的理解,我匆忙执行了以下步骤(仍然不起作用,用户仍然在日志中收到 502 错误,并且没有重定向桌面);这很糟糕,因为他需要访问他的旧文件:
正确设置文件夹的安全权限
1. 以管理员身份取得文件夹所有权
- 右键单击并从菜单中
\\somersrv\x$\Redirected\<username>选择。properties - 单击了
Security选项卡。- 点击
Advanced按钮- 点击了
owner标签 - 注意到所有者是一个 UUID 字符串......
S-1-5-21-23423431(这表明原始所有者已被删除) - 点击了
Edit...按钮。Advanced Security Setting for <username>出现对话框- 在
owner选项卡上,单击Other users or groups按钮- 出现对话框
Select User, Computer, Service Account, or Group。- 在
Enter the object name to select文本框中我输入somedomain\administrator - 点击
OK
- 在
somedomain\administrator从列表框中选择Change Owner to:。- 勾选
Replace owner on subcontainers and objects - 点击
OK - 对话框
Windows Security显示以下消息:- 如果您刚刚获得此对象的所有权,则需要关闭并重新打开此对象的属性,然后才可以查看或更改权限。
- 我单击了
OK所有剩余的对话框以关闭所有内容。
- 出现对话框
- 点击了
- 点击
2. 以用户身份取得文件夹的所有权
(与上述步骤相同,只是我选择<username>作为所有者而不是管理员)
3. 为用户正确设置安全权限
- 右键单击并从菜单中
\\somersrv\x$\Redirected\<username>选择。properties - 在
<username>属性对话框中:- 点击
Edit... Permissions for <username>出现 对话框- 点击
Add.. Select Users, Computers, Service Accounts, or Groups出现 对话框- 在
Enter the object names to select文本框中输入somedomain\<username> - 点击
OK
- 在
- 点击
- 返回
Permissions for <username>对话框,<user>从列表中单击Group or user names。- 在行
Full Control、在列中Allow勾选复选框。 - 在行中
Full Control,在Allow列中取消选中复选框。 - 点击
OK
- 单击
OK其余对话框直到它们全部关闭。
- 点击
我的同事指定的标准权限集已添加到用户文件夹...它们是:
SYSTEMDomain Admins<username>
我的同事在消息结尾也提到了将 设为所有者SYSTEM,我不确定他的意思;他还说要检查其他用户目录,但这些目录上的权限似乎不太符合标准。即使我以管理员身份登录,其中一些目录甚至不让我查看权限或所有者。
但最终用户的Desktop、My Documents和Favorites出现在文件夹中,但现在他们拥有该用户作为所有者,并且只有somedomain\administrator列在权限下,他们仍然收到 502 错误。
为什么用户登录时仍然会出现502错误?
另外,还有其他方法可以做到这一点吗?使用命令行或 powershell 或类似的东西?Microsoft 的用户界面太糟糕了。
答案1
问:还有其他方法可以做到这一点吗?
答:帮自己一个忙,备份他的旧数据,然后删除他的配置文件和重定向文件夹。然后允许 Windows 在首次登录时创建他的用户配置文件和重定向文件夹。然后将数据恢复到新的重定向文件夹。
目前,即使新旧用户帐户具有相同的名称,您仍要处理两个不同的安全实体 (SID)。尝试为新 SID 的文件夹正确设置权限只会让您感到沮丧,而且最终可能会陷入一片混乱。
答案2
以下是我们所做的:
在服务器上
- 以管理员身份登录具有重定向文件夹的服务器...
- 将旧文件夹复制到其他地方...
- 使用该用户名创建新文件夹
- 确保用户有权控制该文件夹
- 右键单击并从菜单中
\\somersrv\x$\Redirected\<username>选择。properties - 在
<username>属性对话框中:- 点击
Edit... Permissions for <username>出现对话框- 点击
Add.. Select Users, Computers, Service Accounts, or Groups出现 对话框- 在
Enter the object names to select文本框中输入somedomain\<username> - 点击
OK
- 在
- 返回
Permissions for <username>对话框,<user>从列表中单击Group or user names。- 在行
Full Control、在列中Allow勾选复选框。 - 在行中
Full Control,在Allow列中取消选中复选框。 - 点击
OK
- 单击
OK其余对话框直到它们全部关闭。
- 点击
- 右键单击并从菜单中
- 确保文件夹所有者是用户而非管理员
- 右键单击并从菜单中
\\somersrv\x$\Redirected\<username>选择。properties - 单击了
Security选项卡。- 点击
Advanced按钮- 点击了
owner标签 - 点击了
Edit...按钮。 Advanced Security Setting for <username>出现 对话框- 在
owner选项卡上,单击Other users or groups按钮- 出现对话框
Select User, Computer, Service Account, or Group。- 在
Enter the object name to select文本框中我输入somedomain\<username> - 点击
OK
- 在
somedomain\<username>从列表框中选择Change Owner to:。- 勾选
Replace owner on subcontainers and objects - 点击
OK - 对话框
Windows Security显示以下消息:- 如果您刚刚获得此对象的所有权,则需要关闭并重新打开此对象的属性,然后才可以查看或更改权限。
- 我单击了
OK所有剩余的对话框以关闭所有内容。
- 出现对话框
- 在
- 点击了
- 点击
- 右键单击并从菜单中
在用户计算机上
- 删除计算机上该用户的所有无关的用户配置文件
- 以管理员身份登录
- 单击“开始”
- 右键单击
Computer并单击properties - 在出现的窗口中点击
Advanced System Settings - 点击
Advanced选项卡 User Profiles点击下Settings...- 如果您确定用户的个人资料中没有任何重要内容,请在此处将其删除。
- 点击
OK - 如果用户配置文件夹仍然存在,请将其删除。
- 笔记:如果您手动删除了用户配置文件文件夹,则需要从
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\ProfileList
- 笔记:如果您手动删除了用户配置文件文件夹,则需要从
- 登出
- 以用户身份登录
Create Desktop、、My Documents(Favorites如果它们尚不存在)在重定向文件夹中\\somesrv\x$\Redirected\<username>- 跑步
gpupdate /force
返回服务器
- 将旧配置文件中的文件复制回来
回到机器上
- 重新开始
- 重新以用户身份登录。