Comment créer dynamiquement des dossiers redirigés avec sécurité renforcée ou des dossiers de base
Cet article explique comment créer dynamiquement des dossiers redirigés avec sécurité renforcée ou des dossiers de base.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 274443
Résumé
Dans Microsoft Windows Server Active Directory, en tant qu’administrateur, vous pouvez personnaliser les bureaux à l’aide de la redirection de dossiers ou attribuer un dossier de base basé sur un serveur. En outre, vous pouvez rediriger les dossiers suivants à l’aide d’Active Directory et stratégie de groupe :
- Données d'application
- Ordinateur de bureau
- Mes documents
- Mes documents/Mes images
- Menu Démarrer
Vous trouverez plus d’informations sur la redirection de dossiers en recherchant redirection de dossiers dans l’aide de Windows.
Lorsque vous redirigez des dossiers vers un emplacement partagé sur un réseau, vous avez besoin d’un accès en lecture et en écriture à cet emplacement pour pouvoir lire le contenu de ces dossiers. Toutefois, dans certains scénarios, il se peut que vous ne souhaitiez pas accorder l’accès en lecture à d’autres utilisateurs.
Créer des dossiers redirigés avec sécurité renforcée
Pour vous assurer que seuls l’utilisateur et les administrateurs de domaine disposent des autorisations nécessaires pour ouvrir un dossier redirigé particulier, procédez comme suit :
Sélectionnez un emplacement central dans votre environnement où vous souhaitez stocker la redirection de dossiers, puis partagez ce dossier. Dans cet exemple, FLDREDIR et HOMEDIR sont utilisés.
Définissez Autorisations de partage pour le groupe Tout le monde sur Contrôle total.
Utilisez les paramètres suivants pour les autorisations NTFS :
- CREATOR OWNER - Contrôle total (Appliquer à : sous-dossiers et fichiers uniquement)
- Système - Contrôle total (Appliquer à : ce dossier, sous-dossiers et fichiers)
- Administrateurs de domaine - Contrôle total (Appliquer à : ce dossier, sous-dossiers et fichiers)
- Tout le monde - Créer un dossier/ajouter des données (Appliquer à : ce dossier uniquement)
- Tout le monde - Lister les données de dossier/lecture (Appliquer à : Ce dossier uniquement)
- Tout le monde - Attributs de lecture (Appliquer à : ce dossier uniquement)
- Tout le monde - Parcourir le dossier/Exécuter le fichier (Appliquer à : ce dossier uniquement)
Configurez la stratégie de redirection de dossiers comme indiqué dans l’Aide de Windows. Utilisez un chemin d’accès similaire à pour
\\server\FLDREDIR\%username%créer un dossier sous le dossier partagé, FLDREDIR.Vous pouvez également configurer un dossier de base « HOMEDIR » de la même manière en copiant un utilisateur de modèle avec un dossier de base comme
\\server\HOMEDIR\%username%, ou en créant l’utilisateur et le dossier portant ce nom.Remarque
Pour les dossiers de base, le scénario n’est pas courant, car lorsque vous ajoutez le dossier de base d’un utilisateur, Utilisateurs et ordinateurs Active Directory créez le dossier. Toutefois, si vous utilisez un approvisionnement personnalisé, Utilisateurs et ordinateurs Active Directory ne crée pas le dossier. Par conséquent, vous devez le faire par vous-même.
Pourquoi ces autorisations permettent d’améliorer la sécurité des dossiers de partage
Étant donné que le groupe Tout le monde a le droit Créer un dossier/Ajouter des données, les membres du groupe disposent des autorisations appropriées pour créer le dossier . Toutefois, les membres ne sont pas en mesure de lire les données par la suite. Le groupe Nom d’utilisateur est le nom de l’utilisateur qui a été connecté lorsque vous avez créé le dossier. Étant donné que le dossier est un enfant du dossier parent, il hérite des autorisations que vous avez attribuées à FLDREDIR. En outre, étant donné que l’utilisateur crée le dossier, l’utilisateur obtient le contrôle total du dossier en raison du paramètre Autorisation propriétaire du créateur .
Plus d’informations
L’article a été initialement écrit pour Windows Server 2003, et l’entrée de contrôle d’accès (ACE) pour CreatorOwner a probablement été convertie en :
<Folder-User> - Contrôle total (Appliquer à : ce dossier, sous-dossiers et fichiers)
Mais il n’y a aucune preuve que cela s’est produit. Les versions antérieures de l’article ne mention pas le résultat de la liste de contrôle d’accès (ACL) et les versions des systèmes d’exploitation pour lesquelles cet article a été écrit ne sont plus prises en charge.
À la fin du mois de mai 2017, tous les systèmes d’exploitation pris en charge ont converti l’ACE en :
<Folder-User> - Contrôle total (Appliquer à : cet objet uniquement)
Mais cela n’affecte pas les opérations quotidiennes des dossiers pour les utilisateurs. Cela fait une différence lorsque l’administrateur doit travailler sur le contenu des dossiers de base ou des dossiers redirigés.
Si vous souhaitez vous assurer que l’utilisateur obtient le contrôle total pouvant être hérité sur tous les objets enfants, vous devez :
Créez vous-même le dossier correspondant pour les utilisateurs samaccountname.
Définissez les autorisations nécessaires pour le dossier, omettez les ACÉ Tout le monde ci-dessus et vérifiez que vous disposez de l’ACE :
<Folder-User> - Contrôle total (Appliquer à : ce dossier, sous-dossiers et fichiers)
References
Pour plus d’informations, consultez Vue d’ensemble de la redirection de dossiers.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour