Roaming-Profile
漫遊配置文件、文件夾重定向和家庭驅動器以及自動創建的安全權限
著眼於改變我們管理漫遊配置文件、家庭驅動器和文件夾重定向的方式。
我們上一個系統管理員很懶惰,並設置每個人都可以訪問所有內容,以解決設置文件夾權限的麻煩。
我希望在 AD 中設置路徑時自動創建這些文件夾。目前主文件夾創建得很好,但是當創建配置文件時,我需要擁有每個文件夾的所有權來查看/修改文件,這是一個令人頭疼且不可行的長期文件。
我為這些功能設置了 3 個共享,具有以下權限
HomeStore 和 ProfileStore
安全性:
創建者所有者 - 完整
域管理員 - 完整
驗證使用者 - 讀取
共享:
驗證使用者(僅限此文件夾) - 完整
域管理員 - 完整
系統 - 完整
FolderStore
Creator Owner - Full
Domain Admin - Full
Authenticated Users - Read
Sharing:
每個人(僅限此文件夾) - Full
Domain Admin - Full
System - Full
這些設置是否正確?我知道管理員有權訪問使用者文件存在問題,但我們是一家小公司,我經常要求這樣做。
在不解析您列出的權限的情況下(因為它讓我的耳朵受傷),我建議您閱讀這篇文章:
http://technet.microsoft.com/en-us/library/cc737633(WS.10).aspx
此外,在組策略中有一個設置將管理員安全組添加到漫遊配置文件,這將授予管理員組對漫遊配置文件的適當權限,從而在訪問配置文件時不需要您取得所有權,這肯定會導致問題最終。
注意 1:上述 GP 設置只會影響新創建的配置文件,而不影響現有配置文件。
注意 2:GP 設置需要在適用於客戶端電腦對象的 GPO 中進行設置,而不是配置文件伺服器電腦對象。