Uprawnienia NTFS do udziału root, który zawiera katalogi domowe Windows Server 2008 R2

Używam karty Profil AD do automatycznego tworzenia katalogów domowych w \\server\home, aby uprawnienia były tworzone automatycznie.

Jakie powinny być uprawnienia NTFS dla faktycznego folderu, w którym tworzone są katalogi domowe ( \\server\home)?

Ponadto uprawnienia do udostępniania są zawsze Wszyscy :: Pełny dostęp, ponieważ kontroluję rzeczywisty dostęp za pomocą uprawnień NTFS; czy to jest poprawna metoda?

Oto, co mam w moich ulubionych w celach informacyjnych:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• TWÓRCA WŁAŚCICIELA - Pełna kontrola (Zastosuj do: Tylko podfoldery i pliki)
• System - pełna kontrola (Zastosuj do: tego folderu, podfolderów i plików)
• Administratorzy domeny - Pełna kontrola (Zastosuj do: tego folderu, podfolderów i plików)
• Wszyscy - Utwórz folder / Dołącz dane (Zastosuj do: Tylko ten folder)
• Wszyscy - Wyświetl folder / Odczytaj dane (Zastosuj do: Tylko ten folder)
• Wszyscy - Czytaj atrybuty (Zastosuj do: Tylko ten folder)
• Wszyscy - przeglądaj folder / wykonuj plik (Zastosuj do: tylko ten folder)

Zaleca także ustawienie uprawnień udostępniania, ponieważ:

• Wszyscy - pełna kontrola

Jest to udokumentowane tutaj:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

I musisz dalej edytować ACE dla uwierzytelnionych użytkowników, tak aby dotyczyła ona tylko tego folderu.

Rozwijanie odpowiedzi @ Dan ...

Zgadzam się z właścicielem twórcy, ale nigdy nie udzielam FC użytkownikom. To pozwala im ustawiać własne listy DACL, co z mojego doświadczenia przynosi świat bólu, gdy dziwny użytkownik (czytaj „ból w ar $ e) usuwa uprawnienia do SYSTEMU, zatrzymując w ten sposób tworzenie kopii zapasowych plików. , zwykle ograniczaj użytkownika danych do Modyfikuj (zmiana w oldschoolowym języku).

SYSTEM: FC, tak.

Administratorzy domeny: Nie. Określ grupę lokalnych administratorów serwera.

Wszyscy: dlaczego? Osobiście nigdy nie użyłby „Wszyscy”, ponieważ obejmuje nieautoryzowanych użytkowników.

Udostępnij uprawnienia - zgadzam się. Służą jedynie do mylenia zapytań dostępu.

Zgadzam się, że lepiej kontrolować dostęp na poziomie NTFS niż na poziomie udziału, ale niezależnie od tego, czy dasz im pełną kontrolę, użytkownicy zawsze będą mogli ustawić uprawnienia do plików, które tworzą, ponieważ są wtedy właścicielami.

Jeśli chcesz uniemożliwić im zmianę uprawnień nawet do obiektów, których są właścicielami, wprowadź uprawnienia do udziału Zmień (dla wszystkich) zamiast Pełny.

Wtedy równie dobrze możesz podać im Full (NTFS) we własnym katalogu domowym, więc oczywiste jest, co się dzieje.