Jak dynamicznie tworzyć przekierowane foldery lub foldery główne z rozszerzonymi zabezpieczeniami
W tym artykule opisano sposób dynamicznego tworzenia folderów przekierowanych lub folderów domowych z rozszerzonymi zabezpieczeniami.
Dotyczy: Windows Server 2012 R2
Oryginalny numer KB: 274443
Podsumowanie
W usłudze Microsoft Windows Server Active Directory jako administrator możesz dostosować pulpity przy użyciu przekierowania folderów lub przypisać folder główny oparty na serwerze. Ponadto można przekierować następujące foldery przy użyciu usługi Active Directory i zasady grupy:
- Dane aplikacji
- Pulpitu
- Moje dokumenty
- Moje dokumenty/Moje obrazy
- Start Menu
Więcej informacji na temat przekierowania folderów można znaleźć, wyszukując pomoc systemu Windows dotyczącą przekierowania folderów.
Podczas przekierowywania folderów do lokalizacji udostępnionej w sieci potrzebny jest zarówno dostęp do odczytu, jak i zapisu do tej lokalizacji, aby można było odczytać zawartość tych folderów. Jednak w niektórych scenariuszach nie chcesz udzielać dostępu do odczytu innym użytkownikom.
Tworzenie folderów przekierowanych z rozszerzonymi zabezpieczeniami
Aby upewnić się, że tylko użytkownik i administratorzy domeny mają uprawnienia do otwierania określonego przekierowanego folderu, wykonaj następujące kroki:
Wybierz centralną lokalizację w środowisku, w której chcesz przechowywać przekierowanie folderów, a następnie udostępnij ten folder. W tym przykładzie są używane biblioteki FLDREDIR i HOMEDIR.
Ustaw opcję Uprawnienia do udostępniania dla grupy Wszyscy na pełną kontrolę.
Użyj następujących ustawień dla uprawnień NTFS:
- WŁAŚCICIEL TWÓRCY — pełna kontrola (zastosuj do: Tylko podfoldery i pliki)
- System — pełna kontrola (zastosuj do: ten folder, podfoldery i pliki)
- Administratorzy domeny — pełna kontrola (zastosuj do: ten folder, podfoldery i pliki)
- Wszyscy — tworzenie danych folderu/dołączania (zastosuj do: tylko ten folder)
- Wszyscy — lista folderów/odczytu danych (zastosuj do: tylko ten folder)
- Wszyscy — odczyt atrybutów (zastosuj do: tylko ten folder)
- Wszyscy — przechodzenie przez folder/wykonywanie pliku (zastosuj do: tylko ten folder)
Skonfiguruj zasady przekierowania folderów zgodnie z opisem w Pomocy systemu Windows. Użyj ścieżki podobnej do
\\server\FLDREDIR\%username%utworzenia folderu w folderze udostępnionym FLDREDIR.Możesz również skonfigurować folder macierzysty "HOMEDIR" w podobny sposób, kopiując użytkownika szablonu z folderem macierzystym, takim jak
\\server\HOMEDIR\%username%, lub utwórz użytkownika i folder o tej nazwie.Uwaga
W przypadku folderów domowych scenariusz nie jest typowy, ponieważ po dodaniu folderu macierzystego dla użytkownika Użytkownicy i komputery usługi Active Directory utworzy folder. Jeśli jednak używasz niestandardowej aprowizacji, Użytkownicy i komputery usługi Active Directory nie tworzy folderu. W związku z tym musisz to zrobić samodzielnie.
Dlaczego te uprawnienia pomagają zwiększyć bezpieczeństwo folderów udziału
Ponieważ grupa Wszyscy ma prawo Do tworzenia folderu/dołączania danych, członkowie grupy mają odpowiednie uprawnienia do tworzenia folderu; Jednak członkowie nie mogą później odczytać danych. Grupa Nazwa użytkownika to nazwa użytkownika, który został zalogowany podczas tworzenia folderu. Ponieważ folder jest elementem podrzędnym folderu nadrzędnego, dziedziczy uprawnienia przypisane do biblioteki FLDREDIR. Ponadto, ponieważ użytkownik tworzy folder, użytkownik zyskuje pełną kontrolę nad folderem z powodu ustawienia uprawnienia właściciela twórcy .
Więcej informacji
Artykuł został początkowo napisany dla systemu Windows Server 2003, a wpis kontroli dostępu (ACE) dla właściciela twórcy został prawdopodobnie przekonwertowany na:
<Folder-User> — pełna kontrola (zastosuj do: ten folder, podfoldery i pliki)
Ale nie ma dowodów na to, że tak się stało. Wcześniejsze wersje artykułu nie wspominają o wyniku listy kontroli dostępu (ACL), a wersje systemów operacyjnych, dla których ten artykuł został napisany, nie są już obsługiwane.
Do końca maja 2017 r. wszystkie obsługiwane systemy operacyjne przekonwertują usługę ACE na:
<Folder-User> — pełna kontrola (zastosuj do: tylko ten obiekt)
Nie ma to jednak wpływu na codzienne operacje folderów dla użytkowników. Ma to znaczenie, gdy administrator musi pracować nad zawartością folderów domowych lub przekierowanych folderów.
Jeśli chcesz mieć pewność, że użytkownik uzyska dziedziczną pełną kontrolę nad wszystkimi obiektami podrzędnymi, musisz wykonać następujące czynności:
Samodzielnie utwórz folder pasujący do nazwy samccountname użytkowników.
Ustaw uprawnienia, które są wymagane dla folderu, pomiń powyższe wszyscy acety i upewnij się, że masz usługę ACE:
<Folder-User> — pełna kontrola (zastosuj do: ten folder, podfoldery i pliki)
Informacje
Aby uzyskać więcej informacji, zobacz Omówienie przekierowania folderów.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla