NTFS-Berechtigungen für die Stammfreigabe, in der sich die Basisverzeichnisse von Windows Server 2008 R2 befinden

Ich verwende die Registerkarte AD-Profil, um \\server\homeautomatisch Home-Verzeichnisse zu erstellen , damit die Berechtigungen automatisch erstellt werden.

Wie sollten die NTFS-Berechtigungen für den tatsächlichen Ordner sein, in dem die Basisverzeichnisse erstellt werden ( \\server\home)?

Außerdem sind Freigabeberechtigungen immer Jeder :: Vollzugriff, da ich den tatsächlichen Zugriff mit NTFS-Berechtigungen kontrolliere. ist das die richtige Methode?

Folgendes habe ich in meinen Favoriten als Referenz:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• CREATOR OWNER - Volle Kontrolle (Anwenden auf: Nur Unterordner und Dateien)
• System - Vollzugriff (Anwenden auf: diesen Ordner, Unterordner und Dateien)
• Domain-Administratoren - Vollzugriff (Anwenden auf: diesen Ordner, Unterordner und Dateien)
• Jeder - Ordner erstellen / Daten anhängen (Anwenden auf: Nur diesen Ordner)
• Jeder - Ordner auflisten / Daten lesen (Anwenden auf: Nur diesen Ordner)
• Jeder - Attribute lesen (Anwenden auf: Nur diesen Ordner)
• Jeder - Ordner durchlaufen / Datei ausführen (Anwenden auf: Nur diesen Ordner)

Es wird außerdem empfohlen, Freigabeberechtigungen wie folgt festzulegen:

• Jeder - volle Kontrolle

Es ist hier dokumentiert:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

Außerdem müssen Sie den ACE für authentifizierte Benutzer weiter bearbeiten, damit er nur für diesen Ordner gilt.

@ Dans Antwort erweitern ...

Ich stimme dem Eigentümer des Erstellers zu, erteile den Benutzern jedoch niemals FC. Auf diese Weise können sie ihre eigenen DACLs festlegen, was meiner Erfahrung nach eine Welt voller Schmerzen mit sich bringt, wenn der eine oder andere Power-User (lesen Sie "Pain in the Ar $ e") die Berechtigungen für SYSTEM entfernt und Sie so daran hindert, ihre Dateien zu sichern Normalerweise beschränken Sie den Benutzer der Daten auf Ändern (Änderung der alten Sprache).

SYSTEM: FC, ja.

Domain-Administratoren: Nein. Geben Sie die lokale Administratorgruppe des Servers an.

Jeder: Warum? Würde persönlich sowieso nie "Jeder" verwenden, da es nicht authentifizierte Benutzer enthält.

Freigabeberechtigungen - zustimmen. Sie dienen nur dazu, Zugriffsabfragen zu verwirren.

Ich bin damit einverstanden, dass es besser ist, den Zugriff auf NTFS-Ebene als auf Freigabeebene zu steuern. Unabhängig davon, ob Sie ihnen die vollständige Kontrolle erteilen, können die Benutzer immer Berechtigungen für von ihnen erstellte Dateien festlegen, da sie dann der Eigentümer sind.

Wenn Sie verhindern möchten, dass sie die Berechtigungen auch für Objekte ändern, die sie besitzen, nehmen Sie die Berechtigungen für die Freigabeänderung (für alle) anstelle von Vollständig vor.

Dann können Sie ihnen auch Full (NTFS) in ihrem eigenen Home-Verzeichnis geben, damit klar ist, was los ist.