Dynamisch omgeleide mappen of basismappen met verbeterde beveiliging maken
In dit artikel wordt beschreven hoe u dynamisch omgeleide mappen of basismappen met verbeterde beveiliging kunt maken.
Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 274443
Samenvatting
In Microsoft Windows Server Active Directory kunt u als beheerder bureaubladen aanpassen met behulp van Mapomleiding of een op een server gebaseerde basismap toewijzen. Daarnaast kunt u de volgende mappen omleiden met behulp van Active Directory en groepsbeleid:
- Toepassingsgegevens
- Desktop
- Mijn documenten
- Mijn documenten/Mijn afbeeldingen
- Startmenu
U vindt meer informatie over mapomleiding door te zoeken in De Help van Windows naar Mapomleiding.
Wanneer u mappen omleidt naar een gedeelde locatie in een netwerk, hebt u zowel lees- als schrijftoegang tot deze locatie nodig, zodat u de inhoud van deze mappen kunt lezen. In sommige scenario's wilt u echter geen leestoegang verlenen aan andere gebruikers.
Omgeleide mappen met verbeterde beveiliging maken
Voer de volgende stappen uit om ervoor te zorgen dat alleen de gebruiker en de domeinbeheerders gemachtigd zijn om een bepaalde omgeleide map te openen:
Selecteer een centrale locatie in uw omgeving waar u Mapomleiding wilt opslaan en deel vervolgens deze map. In dit voorbeeld worden FLDREDIR en HOMEDIR gebruikt.
Stel Machtigingen delen voor de groep Iedereen in op Volledig beheer.
Gebruik de volgende instellingen voor NTFS-machtigingen:
- CREATOR OWNER - Volledig beheer (toepassen op: alleen submappen en bestanden)
- Systeem - Volledig beheer (toepassen op: Deze map, submappen en bestanden)
- Domeinbeheerders - Volledig beheer (toepassen op: Deze map, submappen en bestanden)
- Iedereen - Map maken/gegevens toevoegen (toepassen op: alleen deze map)
- Iedereen - Map weergeven/Gegevens lezen (toepassen op: alleen deze map)
- Iedereen - Kenmerken lezen (toepassen op: alleen deze map)
- Iedereen - Door de map bladeren/bestand uitvoeren (toepassen op: alleen deze map)
Mapomleidingsbeleid configureren zoals beschreven in Windows Help. Gebruik een pad dat
\\server\FLDREDIR\%username%vergelijkbaar is met om een map te maken onder de gedeelde map, FLDREDIR.U kunt ook een basismap 'HOMEDIR' op een vergelijkbare manier configureren door een sjabloongebruiker te kopiƫren met een basismap zoals
\\server\HOMEDIR\%username%, of maak de gebruiker en map met die naam.Opmerking
Voor basismappen is het scenario niet gebruikelijk, omdat wanneer u de basismap voor een gebruiker toevoegt, Active Directory: gebruikers en computers de map maakt. Maar als u een aangepaste inrichting gebruikt, maakt Active Directory: gebruikers en computers de map niet. Daarom moet je het zelf doen.
Waarom deze machtigingen de beveiliging van de sharemappen helpen verbeteren
Omdat de groep Iedereen het recht Map maken/Gegevens toevoegen heeft, hebben de groepsleden de juiste machtigingen om de map te maken; De leden kunnen de gegevens echter later niet lezen. De groep Gebruikersnaam is de naam van de gebruiker die is aangemeld bij het maken van de map. Omdat de map een onderliggende map van de bovenliggende map is, neemt deze de machtigingen over die u aan FLDREDIR hebt toegewezen. Omdat de gebruiker de map maakt, krijgt de gebruiker ook volledige controle over de map vanwege de instelling Machtigingen voor maker-eigenaar .
Meer informatie
Het artikel is in eerste instantie geschreven voor Windows Server 2003 en de toegangsbeheervermelding (ACE) voor CreatorOwner is waarschijnlijk geconverteerd naar:
<Mapgebruiker> - Volledig beheer (toepassen op: deze map, submappen en bestanden)
Maar er is geen bewijs dat dit is gebeurd. In eerdere versies van het artikel wordt het resultaat van de toegangsbeheerlijst (ACL) niet vermeld en de versies van de besturingssystemen waarvoor dit artikel is geschreven, worden niet meer ondersteund.
Eind mei 2017 hebben alle ondersteunde besturingssystemen de ACE geconverteerd naar:
<Mapgebruiker> - Volledig beheer (toepassen op: alleen dit object)
Dit heeft echter geen invloed op de dagelijkse bewerkingen van de mappen voor de gebruikers. Het maakt verschil wanneer de beheerder moet werken aan de inhoud van de basismappen of omgeleide mappen.
Als u ervoor wilt zorgen dat de gebruiker het over te nemen volledige beheer krijgt over alle onderliggende objecten, moet u het volgende doen:
Maak zelf de map die overeenkomt met de gebruikers samaccountname.
Stel de machtigingen in die nodig zijn voor de map, laat de bovenstaande ACL's voor iedereen weg en zorg ervoor dat u de ACE hebt:
<Mapgebruiker> - Volledig beheer (toepassen op: deze map, submappen en bestanden)
Verwijzingen
Zie Overzicht van mapomleiding voor meer informatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor