Τρόπος δυναμικής δημιουργίας βελτιωμένης ασφάλειας ανακατεύθυνση φακέλων ή κεντρικών φακέλων

Ισχύει για: Windows Server 2008

Σύνοψη


Στο Microsoft Windows διακομιστή υπηρεσίας καταλόγου Active Directory, ως διαχειριστής, μπορείτε να προσαρμόσετε επιτραπέζιοι υπολογιστές, χρησιμοποιώντας την ανακατεύθυνση φακέλου ή να αντιστοιχίσετε έναν αρχικό φάκελο που βασίζεται σε διακομιστή. Επιπλέον, μπορείτε να ανακατευθύνετε τους ακόλουθους φακέλους, χρησιμοποιώντας την υπηρεσία καταλόγου Active Directory και πολιτική ομάδας:
  • Δεδομένα εφαρμογής
  • Επιφάνεια εργασίας
  • Τα έγγραφά μου
  • Τα έγγραφά μου / εικόνες μου
  • Μενού "Έναρξη"
Μπορείτε να βρείτε περισσότερες πληροφορίες σχετικά με την ανακατεύθυνση φακέλου, κάνοντας αναζήτηση στη Βοήθεια των Windows για την Ανακατεύθυνση φακέλου.

Όταν κάνετε ανακατεύθυνση φακέλων σε μια κοινόχρηστη θέση δικτύου, θα πρέπει τόσο πρόσβαση ανάγνωσης και εγγραφής σε αυτήν τη θέση έτσι ώστε να μπορείτε να διαβάσετε τα περιεχόμενα αυτών των φακέλων. Ωστόσο, σε ορισμένα σενάρια, δεν μπορείτε να παραχωρήσετε πρόσβαση ανάγνωσης σε άλλους χρήστες.

Δημιουργία ενισχυμένη ασφάλεια ανακατευθυνόμενων φακέλων

Για να βεβαιωθείτε ότι μόνο ο χρήστης και οι διαχειριστές τομέα έχουν δικαιώματα για το άνοιγμα ενός συγκεκριμένου φακέλου ανακατεύθυνσης, κάντε τα εξής:
  1. Επιλέξτε μια κεντρική θέση στο περιβάλλον σας όπου θέλετε να αποθηκεύσετε την ανακατεύθυνση φακέλου και, στη συνέχεια, να κάνετε κοινή χρήση αυτού του φακέλου. Σε αυτό το παράδειγμα χρησιμοποιείται η και η FLDREDIR.
  2. Ορίστε Τα δικαιώματα κοινής χρήσης για την ομάδα Everyone για Πλήρη έλεγχο.
  3. Χρησιμοποιήστε τις παρακάτω ρυθμίσεις για τα Δικαιώματα NTFS:
    • CREATOR OWNER - Πλήρης έλεγχος (Εφαρμογή σε: οι υποφάκελοι και αρχεία μόνο)
    • Σύστημα - πλήρης έλεγχος (Εφαρμογή σε: Αυτός ο φάκελος, οι υποφάκελοι και αρχεία)
    • "Διαχειριστές τομέων" - Πλήρης έλεγχος (Εφαρμογή σε: Αυτός ο φάκελος, οι υποφάκελοι και αρχεία)
    • Όλοι οι χρήστες - δημιουργία φακέλων/προσάρτηση δεδομένων (Εφαρμογή σε: Αυτός ο φάκελος μόνο)
    • Όλοι οι χρήστες - λίστα φακέλου/ανάγνωση δεδομένων (Εφαρμογή σε: Αυτός ο φάκελος μόνο)
    • Όλοι οι χρήστες - χαρακτηριστικά ανάγνωσης (Εφαρμογή σε: Αυτός ο φάκελος μόνο)
    • Όλοι οι χρήστες - Αλλαγή φακέλου/εκτέλεση αρχείου (Εφαρμογή σε: Αυτός ο φάκελος μόνο)
  4. Ρύθμιση παραμέτρων πολιτικής ανακατεύθυνσης φακέλου, όπως περιγράφεται στη Βοήθεια των Windows. Χρησιμοποιήστε μια διαδρομή παρόμοια με \\username% \FLDREDIR\%διακομιστήγια να δημιουργήσετε ένα φάκελο κάτω από τον κοινόχρηστο φάκελο, FLDREDIR.

    Μπορείτε επίσης να ρυθμίσετε έναν κεντρικό φάκελο "Η" με παρόμοιο τρόπο, αντιγράφοντας ένα πρότυπο χρήστη με έναν κεντρικό φάκελο όπως \\username% \HOMEDIR\%διακομιστή, ή να δημιουργήσετε το χρήστη και το φάκελο με το ίδιο όνομα.

    Σημείωση Τους κεντρικούς φακέλους, το σενάριο δεν είναι συνηθισμένος, επειδή όταν προσθέτετε τον κεντρικό φάκελο για ένα χρήστη, Active Directory Users and Computers , θα δημιουργήσετε το φάκελο. Αλλά εάν χρησιμοποιείτε μια προσαρμοσμένη προμήθεια, Active Directory Users and Computers δεν δημιουργεί το φάκελο. Επομένως, πρέπει να το κάνετε αυτό μόνοι σας.

Γιατί τα δικαιώματα αυτά τη βελτίωση της ασφάλειας των φακέλων κοινόχρηστου στοιχείου

Επειδή η ομάδα Everyone έχει το δικαίωμα δημιουργίας φακέλων/προσάρτησης δεδομένων, τα μέλη της ομάδας να έχετε τα κατάλληλα δικαιώματα για να δημιουργήσετε το φάκελο. Ωστόσο, τα μέλη δεν είναι σε θέση να διαβάσει τα δεδομένα στη συνέχεια. Η ομάδα όνομα χρήστη είναι το όνομα του χρήστη που ήταν συνδεδεμένος όταν δημιουργήσατε το φάκελο. Επειδή ο φάκελος είναι θυγατρικό του γονικού φακέλου, μεταβιβάζονται τα δικαιώματα που έχετε αντιστοιχίσει FLDREDIR. Επίσης, επειδή ο χρήστης δημιουργεί το φάκελο, ο χρήστης αποκτά πλήρη έλεγχο του φακέλου λόγω της ρύθμισης δικαίωμα Creator Owner.

Περισσότερες πληροφορίες


Το άρθρο δημιουργήθηκε αρχικά για Windows Server 2003 και η καταχώρηση ελέγχου πρόσβασης (ACE) για CreatorOwner πιθανώς μετατράπηκε σε:

< Φάκελο χρήστη > - Πλήρης έλεγχος (εφαρμογή σε: Αυτός ο φάκελος, οι υποφάκελοι και αρχεία)

Αλλά δεν υπάρχει καμία απόδειξη ότι αυτό έχει συμβεί. Παλαιότερες εκδόσεις του το άρθρο δεν αναφέρει το αποτέλεσμα της λίστας ελέγχου πρόσβασης (ACL) και τις εκδόσεις των λειτουργικών συστημάτων που συντάχθηκε αυτό το άρθρο για δεν υποστηρίζονται πλέον.

Μέχρι το τέλος του Μαΐου 2017, όλα τα λειτουργικά συστήματα που υποστηρίζονται μετατρέπεται ACE για να:

< Φάκελο χρήστη > - Πλήρης έλεγχος (εφαρμογή σε: μόνο αυτό το αντικείμενο)

Ότι αυτό δεν επηρεάζει τις καθημερινές λειτουργίες των φακέλων για τους χρήστες, έχει σημασία όταν ο διαχειριστής πρέπει να εργαστείτε με τα περιεχόμενα των ανακατευθυνόμενων φακέλων ή κεντρικούς φακέλους.

Εάν θέλετε να βεβαιωθείτε ότι ο χρήστης για να λάβετε τις μεταβιβαζόμενες πλήρη έλεγχο σε όλα τα εξαρτώμενα αντικείμενα, πρέπει να:

  1. Δημιουργήστε το φάκελο με τον εαυτό σας που συμφωνεί για το samaccountname χρήστες.
  2. Ορίστε τα δικαιώματα που είναι απαραίτητα για τον φάκελο, παραλείψτε το όλοι οι άσοι παραπάνω και βεβαιωθείτε ότι έχετε το ACE:

     

    < Φάκελο χρήστη > - Πλήρης έλεγχος (εφαρμογή σε: Αυτός ο φάκελος, οι υποφάκελοι και αρχεία)

Αναφορές


Για περισσότερες πληροφορίες, ανατρέξτε στα παρακάτω θέματα: