Cum se creează dinamic securizate Redirecționat foldere sau folderele de domiciliu

Rezumat

În Microsoft Windows Server Active Directory, ca administrator, puteţi particulariza desktopuri utilizând redirectarea sau atribui un folder de domiciliu bazată pe server. În plus, puteți redirecționați următoarele foldere utilizând Active Directory și politica de grup:

  • Application Data

  • Spațiu de lucru

  • Documentele mele

  • Documentele mele / My Pictures

  • Meniul Start

Puteți găsi mai multe informații despre redirectarea căutând ajutor Windows Redirectarea.

Când redirecționați foldere într-o locație partajată într-o rețea, aveți nevoie atât de citire și scriere acces la această locație, astfel încât se pot citi conținutul aceste foldere. Cu toate acestea, în unele scenarii, poate să nu doriți să acorde acces de citire pentru alți utilizatori.

Creare foldere redirecționate avansată de securitate

Pentru a vă asigura că numai utilizatorului și administratori de domeniu au permisiuni pentru a deschide un folder redirectat special, procedați astfel:

  1. Selectați o locație centrală în mediul dvs. în cazul în care doriți să stocați redirectare Folder, apoi partajați acest folder. În acest exemplu, FLDREDIR şi HOMEDIR sunt utilizate.

  2. Setați Permisiunile de partajare pentru fiecare grup la Full Control.

  3. Utilizați următoarele setări pentru Permisiunile NTFS:

    • CREATOR OWNER - Control total (Se aplică pe: subfoldere și fișiere numai)

    • Sistem - Control total (Se aplică pe: acest Folder, subfoldere și fișiere)

    • Administratori de domeniu - Control total (Se aplică pe: acest Folder, subfoldere și fișiere)

    • Toată lumea - creare foldere/Adăugare date (Se aplică pe: numai acest Folder)

    • Toată lumea - listare Folder/citire date (Se aplică pe: numai acest Folder)

    • Toată lumea - atribute citire (Se aplică pe: numai acest Folder)

    • Toată lumea - Traverse Folder/executare fișier (Se aplică pe: numai acest Folder)

  4. Configurarea politicii de redirectare Folder prezentate în ajutorul Windows. Utilizați o cale similar /server\FLDREDIR\% %numele de utilizatorpentru a crea un folder în folderul partajat, FLDREDIR.

    Aveți posibilitatea să configurați, de asemenea, un folder home "HOMEDIR" în mod similar de utilizator cu un folder acasă ca șablon copierea /server\HOMEDIR\%username%, sau pentru a crea utilizator și folderul cu acest nume.

    Notă Pentru foldere acasă, scenariul nu este comun, pentru că atunci când adăugați folderul principal pentru un utilizator, Active Directory Users and Computers va crea folderul. Dar dacă utilizați un provisioning particularizate, Active Directory Users and Computers nu creează folderul. De aceea, trebuie să faceți acest lucru de unul singur.

De ce aceste permisiuni a îmbunătăți securitatea folderele de partajare

Deoarece grupul oricine are dreptul de creare foldere/Adăugare date, membrii grupului aveți permisiunile corespunzătoare pentru a crea folderul; cu toate acestea, membrii nu sunt capabil să citească date ulterior. Grupul de utilizator este numele utilizatorului care a fost conectat când l-ați creat folderul. Deoarece este un copil din folderul principal, acesta să moștenească permisiunile care este atribuită FLDREDIR. De asemenea, deoarece creați folderul, utilizatorul câştigurile control total al folderului din cauza setarea Creator Owner permisiunea.

Mai multe informații

Articolul a fost scris inițial pentru Windows Server 2003 și intrarea controlul accesului (ACE) pentru CreatorOwner s-a transformat probabil să:

< Folderul de utilizator > - Control total (se aplică pe: acest Folder, subfoldere și fișiere)

Dar nu există nici o dovadă că acest lucru s-a întâmplat. Versiunile anterioare de articolul nu menționați rezultate din lista de control a accesului (ACL) și versiunile din acest articol a fost scris pentru sisteme de operare nu sunt acceptate mai.

De la sfârșitul mai 2017, toate sistemele de operare convertite as la:

< Folderul de utilizator > - Full Control (se aplică pe: acest obiect numai)

Întrucât acest lucru nu afectează operațiunile zilnice foldere pentru utilizatori, se face o diferență atunci când administratorul trebuie să funcționeze în conținutul de domiciliu foldere sau folderele redirecționate.

Dacă doriți să vă asigurați că utilizatorul să obțineți de transmisibile control complet asupra toate obiectele fiu, trebuie să:

  1. Creați folderul potrivire pentru utilizatorii samaccountname singur.

  2. Setați permisiunile necesare pentru folder, omiteți Everyone ace-urile de mai sus și asigurați-vă că aveți ACE:

     

    < Folderul de utilizator > - Control total (se aplică pe: acest Folder, subfoldere și fișiere)

Referințe

Pentru mai multe informații, consultați următoarele:

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×