Cómo crear dinámicamente seguro redirige carpetas o carpetas particulares

Se aplica a: Windows Server 2008

Resumen


En Microsoft Windows Server Active Directory, como administrador, puede personalizar escritorios mediante redireccionamiento de carpetas o asignar una carpeta particular basado en servidor. Además, puede redirigir las carpetas siguientes mediante Active Directory y directiva de grupo:
  • Datos de la aplicación
  • Escritorio
  • Mis documentos
  • Mis documentos / Mis imágenes
  • Menú Inicio
Puede encontrar más información acerca de redirección de carpetas mediante la búsqueda de Ayuda de Windows para Redirección de carpetas.Cuando redirige carpetas a una ubicación compartida en una red, necesita acceso de lectura y escritura a esta ubicación para que pueda leer el contenido de estas carpetas. Sin embargo, en algunos casos, no debería conceder acceso de lectura a otros usuarios.

Crear carpetas redirigidas con seguridad mejorada

Para asegurarse de que sólo el usuario y los administradores de dominio tienen permiso para abrir una determinada carpeta redirigida, haga lo siguiente:
  1. Seleccione una ubicación central en el entorno en que le gustaría almacenar el redireccionamiento de carpetas y, a continuación, comparta esta carpeta. En este ejemplo, se usan FLDREDIR y HOMEDIR.
  2. Establecer Permisos de recurso compartido para el grupo todos control Total.
  3. Utilice los valores siguientes para Permisos NTFS:
    • CREATOR OWNER - Control total (Aplicar en: sólo subcarpetas y archivos)
    • Sistema - Control total (Aplicar en: esta carpeta, subcarpetas y archivos)
    • Administradores de dominio - Control total (Aplicar en: esta carpeta, subcarpetas y archivos)
    • Todos - crear carpetas/Anexar datos (Aplicar en: esta carpeta solamente)
    • Todos - Listar carpeta/leer datos (Aplicar en: esta carpeta solamente)
    • Todos - atributos de lectura (Aplicar en: esta carpeta solamente)
    • Todos - Recorrer carpeta/Ejecutar archivo (Aplicar en: esta carpeta solamente)
  4. Configurar la directiva de redirección de carpetas tal como se describe en la Ayuda de Windows. Utilice una ruta de acceso similar a \\server\FLDREDIR\%username% para crear una carpeta bajo la carpeta compartida, FLDREDIR.

    También puede configurar una carpeta particular "HOMEDIR" de manera similar mediante la copia de un usuario de plantilla con una carpeta principal como \\ % deservidor\HOMEDIR\%nombre de usuario, o crear el usuario y la carpeta con ese nombre.

    Nota: Las carpetas principales, el escenario no es común, porque al agregar la carpeta principal de un usuario, Active Directory Users and Computers , creará la carpeta. Pero si utiliza un aprovisionamiento personalizada, Active Directory Users and Computers no crea la carpeta. Por lo tanto, se debe hacer esto por sí mismo.

¿Por qué estos permisos ayudan a mejorar la seguridad de las carpetas del recurso compartido

Dado que el grupo Todos tiene el derecho Crear carpetas/Anexar datos, los miembros del grupo tienen los permisos adecuados para crear la carpeta; Sin embargo, los miembros no son capaces de leer los datos después. El grupo nombreDeUsuario es el nombre del usuario que inició sesión cuando creó la carpeta. Puesto que la carpeta es secundaria de la carpeta principal, hereda los permisos que asignó a FLDREDIR. Además, debido a que el usuario está creando la carpeta, el usuario obtiene control total sobre la carpeta debido a la configuración del permiso Creador propietario.

Más información


El artículo se escribió inicialmente para Windows Server 2003 y la entrada de control de acceso (ACE) para CreatorOwner probablemente se convirtió en:

< Carpeta de usuario - > Control total (aplicar en: esta carpeta, subcarpetas y archivos)

Pero no hay ninguna prueba de que esto ha sucedido. Las versiones anteriores del artículo no mencionan el resultado de la lista de control de acceso (ACL) y las versiones de los sistemas operativos que se escribió este artículo para no se admiten más largo.

A finales de mayo de 2017, todos los sistemas operativos compatibles convierten la ACE para:

< Carpeta de usuario - > Control total (aplicar en: sólo este objeto)

Mientras que esto no afecta a las operaciones diarias de las carpetas de los usuarios, que hace la diferencia cuando el administrador tiene que trabajar en el contenido de las carpetas particulares o carpetas redirigidas.

Si desea asegurarse de que el usuario obtenga el control total heredable en todos los objetos secundarios, deberá:

  1. Cree la carpeta coincidente para el atributo samaccountname de los usuarios por sí mismo.
  2. Establecer los permisos que son necesarios para la carpeta, omite todos los ACEs anterior y asegúrese de que tiene la ACE:

     

    < Carpeta de usuario - > Control total (aplicar en: esta carpeta, subcarpetas y archivos)

Referencias


Para obtener más información, consulte lo siguiente: