Comment créer dynamiquement l’amélioration de la sécurité rediriger des dossiers ou des dossiers de base

S’applique à : Windows Server 2008

Résumé


Dans Microsoft Windows Server Active Directory, en tant qu’administrateur, vous pouvez personnaliser le Bureau à l’aide de la Redirection de dossiers ou affecter un dossier de base basé sur serveur. En outre, vous pouvez rediriger les dossiers suivants à l’aide de la stratégie de groupe et Active Directory :
  • Données d’application
  • Bureau
  • Mes Documents
  • Mes Documents / Mes images
  • Menu Démarrer
Vous trouverez plus d’informations sur la Redirection de dossiers à la recherche de l’aide de Windows pour La Redirection de dossiers.Lorsque vous redirigez des dossiers vers un emplacement partagé sur un réseau, vous devez à la fois en lecture et accès en écriture à cet emplacement afin que vous pouvez lire le contenu de ces dossiers. Toutefois, dans certains scénarios, vous pouvez souhaitez pas accorder l’accès en lecture aux autres utilisateurs.

Créer les dossiers redirigés sécurisés

Pour vous assurer que seuls l’utilisateur et les administrateurs de domaine ont les autorisations nécessaires pour ouvrir un dossier redirigé spécifique, procédez comme suit :
  1. Sélectionnez un emplacement central de votre environnement dans lequel vous souhaitez stocker la Redirection de dossiers, puis partagez ce dossier. Dans cet exemple, FLDREDIR et HOMEDIR sont utilisés.
  2. Définir les Autorisations de partage pour le groupe tout le monde contrôle Total.
  3. Utilisez les paramètres suivants pour Les autorisations NTFS:
    • Propriétaire créateur - contrôle total (S’applique à : sous-dossiers et fichiers uniquement)
    • Système - contrôle total (S’applique à : ce dossier, les sous-dossiers et fichiers)
    • Administrateurs de domaine - contrôle total (S’applique à : ce dossier, les sous-dossiers et fichiers)
    • Tout le monde - Création de dossier/ajout de données (S’applique à : ce dossier uniquement)
    • Tout le monde - liste du dossier/lecture données (S’applique à : ce dossier uniquement)
    • Tout le monde - attributs de lecture (S’applique à : ce dossier uniquement)
    • Tout le monde - Parcourir dossier/exécuter le fichier (S’applique à : ce dossier uniquement)
  4. Configurer la stratégie de Redirection de dossiers comme indiqué dans l’aide Windows. Utilisez un chemin d’accès similaire à \\server\FLDREDIR\%nom_utilisateur% pour créer un dossier sous le dossier partagé, FLDREDIR.

    Vous pouvez également configurer un dossier de base « HOMEDIR » de la même manière en copiant un modèle utilisateur avec un dossier de base comme \\server\HOMEDIR\%nom d’utilisateur%, ou de créer l’utilisateur et un dossier portant ce nom.

    Remarque Pour les dossiers de base, le scénario n’est pas commun, car lorsque vous ajoutez le dossier de base pour un utilisateur, les ordinateurs et utilisateurs Active Directory va créer le dossier. Mais, si vous utilisez une configuration personnalisée, ordinateurs et utilisateurs Active Directory ne crée pas le dossier. Par conséquent, vous devez pour cela par vous-même.

Pourquoi ces autorisations pour améliorer la sécurité des dossiers de partage

Étant donné que le groupe tout le monde a le droit de création de dossier/ajout de données, les membres du groupe ont les autorisations nécessaires pour créer le dossier ; Toutefois, les membres ne sont pas en mesure de lire les données par la suite. Le groupe de nom d’utilisateur est le nom de l’utilisateur qui était connecté lorsque vous avez créé le dossier. Le dossier étant un enfant du dossier parent, il hérite des autorisations affectées à FLDREDIR. En outre, parce que l’utilisateur crée le dossier, l’utilisateur obtient le contrôle total du dossier en raison du paramètre d’autorisation Créateur propriétaire.

Informations supplémentaires


L’article a été initialement écrit pour Windows Server 2003 et l’entrée de contrôle d’accès (ACE) pour CreatorOwner a probablement été convertie en :

< Dossier utilisateur > - contrôle total (appliquer à : ce dossier, les sous-dossiers et fichiers)

Mais il n’existe aucune preuve que ceci est arrivé. Les versions antérieures de cet article ne mentionnent pas le résultat de la liste de contrôle d’accès (ACL) et les versions de cet article a été écrit pour les systèmes d’exploitation ne sont pas plus pris en charge.

À la fin de mai 2017, tous les systèmes d’exploitation pris en charge converti l’ACE pour :

< Dossier utilisateur > - contrôle total (appliquer à : cet objet uniquement)

Considérant que cela n’affecte pas les opérations quotidiennes des dossiers pour les utilisateurs, il fait une différence lorsque l’administrateur dispose pour travailler sur le contenu des dossiers de base ou des dossiers redirigés.

Si vous souhaitez que pour vous assurer que l’utilisateur le contrôle total pouvant être héritées sur tous les objets enfants, vous devez :

  1. Créez le dossier correspondant pour les utilisateurs samaccountname par vous-même.
  2. Définir des autorisations qui sont requises pour le dossier, omettez les ACE tout le monde ci-dessus et vous assurer que vous disposez de l’ACE :

     

    < Dossier utilisateur > - contrôle total (appliquer à : ce dossier, les sous-dossiers et fichiers)

Références


Pour plus d’informations, consultez les rubriques suivantes :