我们使用文件夹重定向组策略来放置用户的我的文件网络共享上的文件夹。
我们已使用 Microsoft 推荐的 NTFS 权限配置共享,如下所示:https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin。 具体来说:
- 创建者所有者 - 完全控制(仅适用于子文件夹和文件)
- 系统 - 完全控制(应用于:此文件夹、子文件夹和文件)
- 域管理员 - 完全控制(应用到:此文件夹、子文件夹和文件)
- 所有人 - 创建文件夹/附加数据(应用到:仅限此文件夹)
- 所有人 - 列出文件夹/读取数据(应用到:仅限此文件夹)
- 所有人 - 读取属性(应用于:仅限此文件夹)
- 所有人 - 遍历文件夹/执行文件(应用到:仅限此文件夹)
然而,该知识库文章还指出(关键点以粗体显示):
截至 2017 年 5 月底,所有支持的操作系统均将 CREATOR OWNER ACE 转换为:
<文件夹-用户> - 完全控制(应用于:仅限此对象)
虽然这不会影响用户对文件夹的日常操作,但当管理员必须处理主文件夹或重定向文件夹的内容时,就会有所不同。
如果您想确保用户获得所有子对象的可继承的完全控制权,您必须:
自行创建与用户 samaccountname 匹配的文件夹。设置文件夹所需的权限,省略上面的 Everyone ACE,并确保您拥有以下 ACE:
<文件夹-用户> - 完全控制(应用于:此文件夹、子文件夹和文件)
换句话说,如果 SYSTEM 在用户文件夹中创建子文件夹,则用户将无法访问该子文件夹,因为他们不再像以前那样继承对该子文件夹的完全控制权。
微软对此的解决方法是手动创建用户的根文件夹,并手动设置具有必要范围的用户权限。
有没有办法通过组策略自动完成此操作,或者脚本是这里唯一的选项?
答案1
这是 CREATOR OWNER 的预期行为,并且不太可能有任何不同;我认为文章的附录在这方面具有误导性。根据我的经验,这通常不会成为问题,因为您通常不想向用户的文件夹添加内容。这可能就是原始文章从未提及它的原因。
如果您不打算提前创建每个用户的目录并明确选择权限,那么就组策略而言,您只有两个选项:如果您设置“授予用户独占权限”选项,他们可以完全访问整个文件夹和内容,但其他人则无权访问;如果您不设置,他们只能访问他们自己创建的内容。
如果您选择第一个选项,则每当您想要添加内容时,您都可以使用备份权限来绕过权限。这很优雅,但可能不方便,因为使用备份权限的内置工具相当有限。
如果选择第二种选择,则可以在添加内容之前更改用户文件夹的权限;或者可以明确设置要添加的内容的权限。
另一种方法(如您所建议的)是在用户首次登录时使用组策略登录脚本来更改用户文件夹的权限。如果向用户文件夹添加内容的任何过程不在您的控制之下,这可能是最方便的选项。