Como criar dinamicamente pastas redirecionadas ou pastas domésticas com aprimoramento de segurança
Este artigo descreve como criar dinamicamente pastas redirecionadas com aprimoramento de segurança ou pastas domésticas.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 274443
Resumo
No Microsoft Windows Server Active Directory, como administrador, você pode personalizar áreas de trabalho usando o Redirecionamento de Pastas ou atribuir uma pasta inicial baseada em servidor. Além disso, você pode redirecionar as seguintes pastas usando o Active Directory e Política de Grupo:
- Dados de Aplicativo
- Desktop
- Meus Documentos
- Meus Documentos/Minhas Imagens
- Menu Iniciar
Você pode encontrar mais informações sobre o Redirecionamento de Pastas pesquisando ajuda do Windows para redirecionamento de pasta.
Quando você redireciona pastas para um local compartilhado em uma rede, você precisa de acesso de leitura e gravação a esse local para que você possa ler o conteúdo dessas pastas. No entanto, em alguns cenários, talvez você não queira conceder acesso de leitura a outros usuários.
Criar pastas redirecionadas com aprimoramento de segurança
Para garantir que apenas o usuário e os administradores de domínio tenham permissões para abrir uma pasta redirecionada específica, siga as seguintes etapas:
Selecione um local central em seu ambiente em que você gostaria de armazenar o Redirecionamento de Pastas e, em seguida, compartilhar essa pasta. Neste exemplo, FLDREDIR e HOMEDIR são usados.
Defina permissões de compartilhamento para o grupo Todos como Controle Total.
Use as seguintes configurações para permissões NTFS:
- PROPRIETÁRIO DO CRIADOR – Controle Completo (Aplicar em: Somente subpastas e arquivos)
- Sistema – Controle Completo (Aplicar em: Esta pasta, subpastas e arquivos)
- Administradores de Domínio – Controle Completo (Aplicar em: Esta pasta, subpastas e arquivos)
- Todos - Criar dados de pasta/acréscimo (Aplicar em: Somente esta pasta)
- Todos - Listar dados de pasta/leitura (Aplicar em: somente esta pasta)
- Todos – Atributos de leitura (Aplicar em: Somente esta pasta)
- Todos - Atravessar pasta/executar arquivo (Aplicar em: Somente esta pasta)
Configurar a Política de Redirecionamento de Pastas conforme descrito no Windows Help. Use um caminho semelhante ao para
\\server\FLDREDIR\%username%criar uma pasta na pasta compartilhada, FLDREDIR.Você também pode configurar uma pasta inicial "HOMEDIR" de maneira semelhante copiando um usuário de modelo com uma pasta inicial como
\\server\HOMEDIR\%username%, ou criar o usuário e a pasta com esse nome.Observação
Para pastas domésticas, o cenário não é comum, pois quando você adiciona a pasta inicial para um usuário, Usuários e Computadores do Active Directory criará a pasta. Mas se você usar um provisionamento personalizado, Usuários e Computadores do Active Directory não criará a pasta. Portanto, você precisa fazer isso sozinho.
Por que essas permissões ajudam a melhorar a segurança das pastas de compartilhamento
Como o grupo Todos tem o direito Criar Dados de Pasta/Apêndice, os membros do grupo têm as permissões adequadas para criar a pasta; no entanto, os membros não podem ler os dados posteriormente. O grupo Nome de usuário é o nome do usuário que foi conectado quando você criou a pasta. Como a pasta é filho da pasta pai, ela herda as permissões atribuídas ao FLDREDIR. Além disso, como o usuário está criando a pasta, o usuário ganha o controle total da pasta devido à configuração de Permissão do Proprietário do Criador .
Mais informações
O artigo foi inicialmente escrito para o Windows Server 2003 e a ACE (entrada de controle de acesso) para CreatorOwner provavelmente foi convertida em:
<Folder-User> – Controle Completo (Aplicar em: Esta pasta, subpastas e arquivos)
Mas não há provas de que isso tenha acontecido. As versões anteriores do artigo não menção o resultado da ACL (lista de controle de acesso) e as versões dos sistemas operacionais para os quais este artigo foi escrito não têm suporte por mais tempo.
No final de maio de 2017, todos os sistemas operacionais com suporte converteram o ACE em:
<Folder-User> – Controle Completo (Aplicar em: somente este objeto)
Mas isso não afeta as operações diárias das pastas para os usuários. Isso faz diferença quando o administrador precisa trabalhar no conteúdo das pastas domésticas ou nas pastas redirecionadas.
Se você quiser garantir que o usuário obtenha o controle total herdável em todos os objetos filho, você precisará:
Crie a correspondência de pasta para os usuários samaccountname sozinho.
Defina as permissões necessárias para a pasta, omita as ACEs todos acima e verifique se você tem o ACE:
<Folder-User> – Controle Completo (Aplicar em: Esta pasta, subpastas e arquivos)
Referências
Para obter mais informações, consulte Visão geral de redirecionamento de pastas.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários