Динамическое создание перенаправленных папок или домашних папок с повышенной безопасностью

  • Статья

В этой статье описывается динамическое создание перенаправленных папок или домашних папок с повышенным уровнем безопасности.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 274443

Сводка

В Microsoft Windows Server Active Directory, как администратор, вы можете настроить рабочие столы с помощью перенаправления папок или назначить серверную домашнюю папку. Кроме того, можно перенаправить следующие папки с помощью Active Directory и групповая политика:

  • Данные приложений
  • Версия для настольного компьютера
  • Мои документы
  • Мои документы и мои фотографии
  • Меню "Пуск"

Дополнительные сведения о перенаправлении папок можно найти в справке Windows для перенаправления папок.

При перенаправлении папок в общее расположение в сети требуется доступ для чтения и записи к этому расположению, чтобы можно было считывать содержимое этих папок. Однако в некоторых сценариях вы можете не предоставлять доступ на чтение другим пользователям.

Создание перенаправленных папок с повышенным уровнем безопасности

Чтобы убедиться, что только пользователь и администраторы домена имеют разрешения на открытие определенной перенаправленной папки, сделайте следующее:

  1. Выберите центральное расположение в вашей среде, где вы хотите сохранить перенаправление папок, а затем предоставить общий доступ к этой папке. В этом примере используются FLDREDIR и HOMEDIR.

  2. Задайте для группы Все разрешения общего доступа значение Полный доступ.

  3. Используйте следующие параметры для разрешений NTFS:

    • CREATOR OWNER — полный доступ (применяется только к вложенным папкам и файлам)
    • Система — полный доступ (применить к этой папке, вложенным папкам и файлам)
    • Администраторы домена — полный доступ (применяется к этой папке, вложенным папкам и файлам)
    • Все — создание папки или добавление данных (применяется к: только эта папка)
    • Все — вывод списка папок/чтение данных (применяется к: только эта папка)
    • Все — чтение атрибутов (применяется к: только эта папка)
    • Все — обход папки или выполнение файла (применяется к: только эта папка)

  4. Настройка политики перенаправления папок, как описано в справке Windows. Используйте путь, \\server\FLDREDIR\%username% аналогичный для создания папки в общей папке FLDREDIR.

    Вы также можете настроить домашнюю папку HOMEDIR аналогичным образом, скопировав пользователя шаблона с домашней папкой, например \\server\HOMEDIR\%username%, или создав пользователя и папку с этим именем.

    Примечание.

    Для домашних папок этот сценарий не является распространенным, так как при добавлении домашней папки для пользователя Пользователи и компьютеры Active Directory создаст папку. Но если вы используете настраиваемую подготовку, Пользователи и компьютеры Active Directory не создает папку. Поэтому вы должны сделать это самостоятельно.

Почему эти разрешения помогают повысить безопасность папок общего доступа

Так как группа Все имеет право создать папку или добавить данные, члены группы имеют соответствующие разрешения на создание папки. однако члены не смогут прочитать данные после этого. Группа Имя пользователя — это имя пользователя, вошедшего в систему при создании папки. Так как папка является дочерней для родительской папки, она наследует разрешения, назначенные FLDREDIR. Кроме того, так как пользователь создает папку, пользователь получает полный доступ к ней из-за параметра Разрешения владельца создателя .

Дополнительная информация

Первоначально статья была написана для Windows Server 2003, и запись управления доступом (ACE) для CreatorOwner, вероятно, была преобразована в:
<Folder-User> — полный доступ (применить к этой папке, вложенным папкам и файлам)

Но нет никаких доказательств того, что это произошло. Более ранние версии статьи не упоминание результата списка управления доступом (ACL), а версии операционных систем, для которых была написана эта статья, больше не поддерживаются.

К концу мая 2017 года все поддерживаемые операционные системы преобразовали ACE в:
<Folder-User> — полный доступ (применить к: только этот объект)

Но это не влияет на ежедневные операции папок для пользователей. Это имеет значение, когда администратору приходится работать с содержимым домашних папок или перенаправленных папок.

Если вы хотите убедиться, что пользователь получает наследуемый полный контроль над всеми дочерними объектами, выполните следующие действия:

  1. Создайте папку, соответствующую имени пользователя samaccountname.

  2. Задайте разрешения, необходимые для папки, опустите приведенные выше ACE "Все" и убедитесь, что у вас есть ACE:

    <Folder-User> — полный доступ (применить к этой папке, вложенным папкам и файлам)

Ссылки

Дополнительные сведения см. в статье Общие сведения о перенаправлении папок.