Come creare dinamicamente cartelle o home cartelle reindirizzate con sicurezza avanzata
Questo articolo descrive come creare dinamicamente cartelle o home cartelle reindirizzate con sicurezza avanzata.
Si applica a: Windows Server 2012 R2
Numero KB originale: 274443
Riepilogo
In Microsoft Windows Server Active Directory, come amministratore, è possibile personalizzare i desktop usando reindirizzamento cartelle o assegnare una home directory basata su server. È anche possibile reindirizzare le cartelle seguenti usando Active Directory e Criteri di gruppo:
- Dati applicazione
- Desktop
- Documenti personali
- Documenti/Immagini personali
- Start Menu
Per altre informazioni sul reindirizzamento cartelle, cercare Reindirizzamento cartelle nella Guida di Windows.
Quando si reindirizzano le cartelle a un percorso condiviso in una rete, è necessario l'accesso in lettura e scrittura a questo percorso in modo da poter leggere il contenuto di queste cartelle. In alcuni scenari, tuttavia, potrebbe non essere necessario concedere l'accesso in lettura ad altri utenti.
Creare cartelle reindirizzate con sicurezza avanzata
Per assicurarsi che solo l'utente e gli amministratori di dominio dispongano delle autorizzazioni per aprire una determinata cartella reindirizzata, seguire questa procedura:
Selezionare una posizione centrale nell'ambiente in cui si vuole archiviare reindirizzamento cartelle e quindi condividere questa cartella. In questo esempio vengono usati FLDREDIR e HOMEDIR.
Impostare Autorizzazioni di condivisione per il gruppo Everyone su Controllo completo.
Usare le impostazioni seguenti per le autorizzazioni NTFS:
- CREATOR OWNER - Controllo completo (applica a: solo sottocartelle e file)
- Sistema - Controllo completo (applica a: cartella, sottocartelle e file)
- Domain Admins - Controllo completo (applica a: cartella, sottocartelle e file)
- Tutti - Crea dati cartella/accodamento (applica a: solo cartella)
- Tutti - Elencare la cartella/Leggere i dati (applica a: Solo cartella)
- Tutti - Attributi di lettura (applica a: solo cartella)
- Everyone - Traverse Folder/Execute File (Applica a: Solo questa cartella)
Configurare i criteri di reindirizzamento cartelle come descritto nella Guida di Windows. Usare un percorso simile a
\\server\FLDREDIR\%username%per creare una cartella nella cartella condivisa FLDREDIR.È anche possibile configurare una home folder "HOMEDIR" in modo simile copiando un utente modello con una home folder come
\\server\HOMEDIR\%username%oppure creare l'utente e la cartella con tale nome.Nota
Per le cartelle home, lo scenario non è comune, perché quando si aggiunge la home folder per un utente, Utenti e computer di Active Directory creerà la cartella. Se tuttavia si usa un provisioning personalizzato, Utenti e computer di Active Directory non crea la cartella. Pertanto, devi farlo da solo.
Perché queste autorizzazioni consentono di migliorare la sicurezza delle cartelle di condivisione
Poiché il gruppo Everyone dispone del diritto Crea cartella/Accoda dati, i membri del gruppo hanno le autorizzazioni appropriate per creare la cartella; tuttavia, i membri non sono in grado di leggere i dati in un secondo momento. Il gruppo Nome utente è il nome dell'utente connesso al momento della creazione della cartella. Poiché la cartella è un elemento figlio della cartella padre, eredita le autorizzazioni assegnate a FLDREDIR. Inoltre, poiché l'utente sta creando la cartella, l'utente ottiene il controllo completo della cartella a causa dell'impostazione Autorizzazione proprietario creatore .
Ulteriori informazioni
L'articolo è stato inizialmente scritto per Windows Server 2003 e la voce di controllo di accesso (ACE) per CreatorOwner è stata probabilmente convertita in:
<Folder-User> - Controllo completo (applica a: cartella, sottocartelle e file)
Ma non c'è alcuna prova che questo sia successo. Le versioni precedenti dell'articolo non menzionano il risultato dell'elenco di controllo di accesso (ACL) e le versioni dei sistemi operativi per cui è stato scritto questo articolo non sono più supportate.
Entro la fine di maggio 2017, tutti i sistemi operativi supportati hanno convertito l'ACE in:
<Folder-User> - Controllo completo (applica a: solo questo oggetto)
Ma questo non influisce sulle operazioni quotidiane delle cartelle per gli utenti. Fa la differenza quando l'amministratore deve lavorare sul contenuto delle cartelle home o delle cartelle reindirizzate.
Per assicurarsi che l'utente ottenga il controllo completo ereditabile su tutti gli oggetti figlio, è necessario:
Creare la corrispondenza della cartella per gli utenti samaccountname da soli.
Impostare le autorizzazioni necessarie per la cartella, omettere gli ACL Everyone precedenti e assicurarsi di avere l'ACE:
<Folder-User> - Controllo completo (applica a: cartella, sottocartelle e file)
Riferimenti
Per altre informazioni, vedere Panoramica del reindirizzamento cartelle.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per