可繼承的 NTFS 權限和阻止使用者文件夾訪問 Windows Server 2003/2008
一點背景:
我們目前使用 Windows Server 2003 和 AD 來控制使用者和他們的數據(我們正在考慮在中期的某個時間點更新到 Server 2008 R2,但由於政治原因不會立即更新。希望解決方案能夠順利轉移到 2008)。使用者的漫遊配置文件文件夾(Windows XP 和 Windows 7 文件夾)儲存在我們稱為“Windows_Home”的網路共享上。我讀過這篇文章:http ://technet.microsoft.com/en-us/library/cc737633%28v=ws.10%29.aspx,這是來自 Microsoft 的“安全建議”文章,並且僅將“父文件夾”權限應用於“Windows_Home”文件夾(它下面的一些子文件夾在我嘗試此操作時給了我權限被拒絕,所以我想我’會以管理員的身份單獨獲取每個文件夾的所有權,然後再次在父級上重新應用權限,以便完全傳遞?然後將原始所有者重新應用到文件夾,生活應該會很好嗎?)。
據我所知,每個人的文件夾目前都從父文件夾繼承,但有些文件夾具有我不知道的其他權限。是否應該僅以這種方式(僅從父級“Windows_Home”故事結尾繼承),或者每個人的文件夾是否應該不繼承權限並擁有自己的權限集(儘管每個文件夾都是相同的,即 Admin +擁有者+擁有完全控制權的系統)?
如果只是繼承,這是否也會影響以其他使用者身份查看他人文件夾的能力?例如,使用者 “jhendrix” 和 “tpetty” 有他們的 “user.V2” 文件夾,目前可以查看該文件夾以及由另一個創建和打開的文件/文件夾。因此 tpetty 可以通過網路導航到 jhendrix.V2 並閱讀他的文件並製作文件,反之亦然。這可以在父文件夾級別更改為“只有子文件夾的所有者和管理員可以訪問此文件夾,其他人不能訪問?” 還是僅在每個文件夾上單獨完成,這會很煩人?
簡單地說,目標是根據 Technet 關於父文件夾和使用者文件夾的文章,獲得 Microsoft 推薦的漫遊配置文件權限,只有文件夾的所有者(當然是域使用者)、SYSTEM 和管理員擁有完整權限訪問它和內容(因此我們不會收到任何臨時配置文件或部分同步的配置文件問題),而所有其他使用者在嘗試導航到它時會收到“無法訪問文件夾”消息。我應該怎麼做才能更接近這個目標?我已經在那裡了嗎?需要指導,非常感謝!
每次你阻止繼承時,你都在切斷自己未來的靈活性。我不惜一切代價避免阻止繼承。你擔心它是對的。
我一直認為微軟對這個功能的建議是錯誤的。它們似乎根本不代表現實世界的部署場景。通過在如此重要的文件夾層次結構的頂部授予使用者“創建子文件夾”權限,我至少看到了潛在的拒絕服務攻擊。我相信使用者配置文件文件夾(和其他每使用者文件夾)需要作為帳戶配置的一部分預先創建。
我的使用者配置文件(和其他每個使用者文件夾)的標準操作過程如下:
您需要使用者能夠列出頂級文件夾的內容,因此我使用以下權限:
- SYSTEM - 完全控制 - 應用於此文件夾、子文件夾和文件
- BUILTIN\Administrators - 完全控制 - 應用於此文件夾、子文件夾和文件
- BUILTIN\Authenticated Users(或更嚴格的組,如果可用) - 讀取和執行 - 僅應用於此文件夾
注意:最後一個權限應該設置為不繼承到子文件夾(即應用於“僅此文件夾”)。此權限允許客戶端列舉頂級文件夾的內容,但由於它不繼承子文件夾或文件,因此不授予對子文件夾的任何訪問權限。
在每個子文件夾繼承保持啟用。我只是在該子文件夾上添加具有“完全控制”權限的使用者。
您也可以通過腳本執行此操作:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe) TAKEOWN /f "x:\Windows_Home\%userDir%" /r /d y ICACLS "x:\Windows_Home\%userDir%" /reset /T ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T
您將需要啟用組策略設置“不檢查漫遊配置文件文件夾的使用者所有權”,以防止客戶端電腦抱怨配置文件文件夾不屬於使用者“擁有”。我也將此域範圍設置為我的標準操作過程的一部分。