Windows
在 Windows Active Directory 中創建使用者主文件夾所需的最低權限
我們希望幫助台負責創建使用者主文件夾,而不是我們的二級支持。幫助台全域組已經是帳戶操作員,因此在 Active Directory 中,他們能夠很好地編輯所有使用者屬性。
問題在於確定文件伺服器上創建主共享所需的最低權限級別,而不是讓他們訪問每個人的主共享。
因此,如果他們打開 AD 使用者和電腦,打開使用者的屬性,然後在配置文件選項卡中輸入 \home\users%username%,然後點擊確定,他們會收到以下錯誤。
未創建 \home\users\username 主文件夾,因為您在伺服器上沒有創建訪問權限。使用者帳戶已使用新的主文件夾值更新,但您必須在獲得所需的訪問權限後手動創建目錄。
現在我只給了幫助台組對根文件夾的完全控制(沒有文件或子目錄)
該目錄實際上是創建的,但是對新創建的文件夾的權限僅顯示管理員完全控制,而對配置的使用者帳戶沒有權限。
聽起來我必須在文件伺服器上設置幫助臺本地管理員,這是我想避免的。特別是因為文件伺服器是一個大型集群,託管的內容遠遠超過整個 orgs 首頁共享結構。
您可以使用用CPAU編寫的批處理腳本。這個工具基本上就像“runas”,除了有一個選項可以以“編碼”形式(即難以閱讀,但未加密)傳遞特權帳戶的密碼。
該腳本將位於共享的根目錄中,幫助台必須使用諸如“使用者名”之類的參數來執行該腳本。CPAU 工具將在提升的上下文中執行文件夾創建(可能是對 HomeDirs 文件夾具有修改權限的本地登錄)。
等等。將你的鴨子與此對齊需要一點點思考。