文件夾重定向 GP 和 CREATOR OWNER 繼承/範圍
我們使用文件夾重定向組策略將使用者的“我的文件”文件夾放在網路共享上。
我們已使用 Microsoft 推薦的 NTFS 權限配置共享,定義如下:https: //support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by -使用。具體來說:
- CREATOR OWNER - 完全控制(適用於:僅子文件夾和文件)
- 系統 - 完全控制(應用到:此文件夾、子文件夾和文件)
- 域管理員 - 完全控制(適用於:此文件夾、子文件夾和文件)
- 每個人 - 創建文件夾/附加數據(應用到:僅此文件夾)
- 每個人 - 列出文件夾/讀取數據(應用到:僅此文件夾)
- 每個人 - 讀取屬性(應用到:僅此文件夾)
- 每個人 - 遍歷文件夾/執行文件(應用到:僅此文件夾)
但是,該知識庫文章還指出(粗體表示的關鍵點):
到 2017 年 5 月,所有受支持的作業系統都將 CREATOR OWNER ACE 轉換為:
<文件夾使用者> - 完全控制(應用到:僅此對象)
雖然這不會影響使用者對文件夾的日常操作,但當管理員必須處理主文件夾或重定向文件夾的內容時會有所不同。
如果您想確保使用者獲得對所有子對象的可繼承完全控制權,您必須:
自己創建與使用者 samaccountname 匹配的文件夾。設置文件夾所需的權限,省略上面的所有人 ACE,並確保您擁有 ACE:
<文件夾使用者> - 完全控制(應用到:此文件夾、子文件夾和文件)
換句話說,如果 SYSTEM 在使用者的文件夾中創建了一個子文件夾,那麼使用者將無法訪問該子文件夾,因為他們不再像以前那樣繼承對其的完全控制權。
Microsoft 對此的解決方法是手動創建使用者的根文件夾並手動設置使用者的權限和必要的範圍。
有沒有辦法通過組策略自動執行此操作,或者腳本是這裡唯一的選擇?
這是 CREATOR OWNER 的預期行為,而且不太可能有任何不同;我認為這篇文章的附錄在這方面具有誤導性。以我的經驗,這通常不是問題,因為您通常不希望將內容添加到使用者的文件夾中。這可能就是為什麼原始文章從未提及它的原因。
如果您不打算使用明確選擇的權限預先創建每個使用者的目錄,那麼就組策略而言,您只有兩個選擇:如果您設置“授予使用者獨占權限”選項,他們將獲得完全訪問權限整個文件夾和內容,但沒有其他人這樣做;如果您不設置,他們只能訪問他們自己創建的內容。
如果您使用第一個選項,則可以在要添加內容時使用備份權限繞過權限。這很優雅,但可能不方便,因為用於使用備份權限的內置工具相當有限。
如果您選擇第二個選項,您可以在添加內容之前更改使用者文件夾的權限;或者您可以明確設置您正在添加的內容的權限。
另一種方法(如您所建議的)是在使用者首次登錄時使用組策略登錄腳本來更改使用者文件夾的權限。如果沒有向使用者文件夾添加內容的任何過程,這可能是最方便的選擇在你的控制之下。