Roaming-Profile

漫遊配置文件、文件夾重定向和家庭驅動器以及自動創建的安全權限

  • June 21, 2011

著眼於改變我們管理漫遊配置文件、家庭驅動器和文件夾重定向的方式。

我們上一個系統管理員很懶惰,並設置每個人都可以訪問所有內容,以解決設置文件夾權限的麻煩。

我希望在 AD 中設置路徑時自動創建這些文件夾。目前主文件夾創建得很好,但是當創建配置文件時,我需要擁有每個文件夾的所有權來查看/修改文件,這是一個令人頭疼且不可行的長期文件。

我為這些功能設置了 3 個共享,具有以下權限

HomeStore 和 ProfileStore

安全性:

創建者所有者 - 完整

域管理員 - 完整

驗證使用者 - 讀取

共享:

驗證使用者(僅限此文件夾) - 完整

域管理員 - 完整

系統 - 完整

FolderStore

Creator Owner - Full

Domain Admin - Full

Authenticated Users - Read

Sharing:

每個人(僅限此文件夾) - Full

Domain Admin - Full

System - Full

這些設置是否正確?我知道管理員有權訪問使用者文件存在問題,但我們是一家小公司,我經常要求這樣做。

在不解析您列出的權限的情況下(因為它讓我的耳朵受傷),我建議您閱讀這篇文章:

http://technet.microsoft.com/en-us/library/cc737633(WS.10).aspx

此外,在組策略中有一個設置將管理員安全組添加到漫遊配置文件,這將授予管理員組對漫遊配置文件的適當權限,從而在訪問配置文件時不需要您取得所有權,這肯定會導致問題最終。

注意 1:上述 GP 設置只會影響新創建的配置文件,而不影響現有配置文件。

注意 2:GP 設置需要在適用於客戶端電腦對象的 GPO 中進行設置,而不是配置文件伺服器電腦對象。

引用自:https://serverfault.com/questions/282447