Das sollte ganz einfach sein. Ich habe meine Dokumentenordner auf eine Freigabe namens //dc/documents umgeleitet. Unter dieser Freigabe wird für jede Person ein Ordner erstellt und darunter ein Ordner für „Eigene Dokumente“. Die Sicherheitsberechtigungen für diese //dc/documents-Freigabe lauten wie folgt:
- Freigabeberechtigungen:
- Jeder – Volle Kontrolle
- Jeder – Volle Kontrolle
- NTFS-Berechtigungen:
- Jeder (nur dieser Ordner) - Ordner auflisten/Daten lesen, Attribute lesen, Erweiterte Attribute lesen, Berechtigungen lesen
- CREATOR OWNER (Nur Unterordner und Dateien) - Vollzugriff
- SYSTEM (Dieser Ordner, Unterordner und Dateien) - Vollzugriff
- Administratoren (Dieser Ordner, Unterordner und Dateien) - Vollzugriff
- Domänenadministratoren (Dieser Ordner, Unterordner und Dateien) - Vollzugriff
Mein Problem tritt auf, wenn ich mich beim integrierten Administratorkonto auf dem PDC anmelde. Obwohl dieses Konto zu den Gruppen „Domänenadministratoren“ und „Administratoren“ gehört, habe ich keine Berechtigung, die Unterordner und Dateien anzuzeigen. Ich sehe keine geerbten Berechtigungen, die mich daran hindern sollten, in diesen Ordnern alles zu tun, was ich möchte. Gibt es einen magischen Knopf, den ich drücken muss, wenn ich die Ordner öffne? Das wird zunehmend frustrierender.
Antwort1
Sie haben das Kontrollkästchen „Dem Benutzer exklusive Rechte erteilen …“ auf der Registerkarte „Einstellungen“ der Ordnerumleitungseinstellungen aktiviert. Deaktivieren Sie es, und die clientseitige Erweiterung (CSE) der Ordnerumleitung fügt den Berechtigungen für die von ihr erstellten Ordner „Administratoren“ hinzu.
Persönlich erstelle ich die Unterordner für die Benutzer vorab, da die Ordnerumleitungs-CSE die Vererbung der von ihr erstellten Unterordner deaktiviert (was ich für eine schlechte Sache halte TM ). Wenn Sie die Ordner vorab erstellen und dem Unterordner „Der Benutzer / Vollzugriff“ hinzufügen, ist die Ordnerumleitungs-CSE damit einverstanden und lässt die Vererbungshierarchie Ihrer Ordner intakt.
Wenn Sie die Ordner, die Sie bereits haben, „reparieren“ möchten, können Sie so etwas wie das icaclsDienstprogramm in einem Skript verwenden, um die Berechtigungen zu bereinigen. Vorausgesetzt, die Unterordner sind alle nach den samAccountNames der Benutzer benannt, könnten Sie etwa Folgendes tun:
FOR /D %%d in (E:\Home Directories\*) DO (
TAKEOWN /f "E:\Home Directories\%%d" /r /d y
ICACLS "E:\Home Directories\%%d" /reset /T
ICACLS "E:\Home Directories\%%d" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%%d" /setowner "MYDOMAIN\%userDir%" /T
)
Dadurch erhalten Sie wieder eine schöne, saubere Vererbungshierarchie mit dem angegebenen Benutzer mit der Berechtigung „Vollzugriff“ für jeden Unterordner.
Antwort2
Beim Konfigurieren der Ordnerumleitung über GPO gibt es eine Option, dem Benutzer exklusiven Zugriff auf die umgeleiteten Ordner zu gewähren. Diese Option ist standardmäßig aktiviert und ich vermute, dass diese GPO-Einstellung das Problem verursacht, obwohl Sie versucht haben, die Berechtigungen auf übergeordneter Ebene zu erteilen. Obwohl es so aussieht, als hätten Sie die richtigen Berechtigungen auf übergeordneter Ebene festgelegt, entfernt Windows diese Berechtigungen, da die umgeleiteten Ordner aufgrund der GPO-Einstellung erstellt werden.
Wenn Sie die GPO-Einstellung ändern, wirkt sich dies auf alle neu erstellten Ordner aus, jedoch nicht auf vorhandene Ordner. Die einfachste Möglichkeit, dies zu umgehen, besteht darin, die GPO-Option zu deaktivieren, die Daten zu sichern, die vorhandenen Ordner zu löschen, Windows die Ordner neu erstellen zu lassen und die Daten wiederherzustellen.
Antwort3
Sind Sie sicher, dass Sie lediglich Probleme mit der Benutzerkontensteuerung haben?
Um Sie zu schützen, filtert die Benutzerkontensteuerung Ihre Nutzung der Administratorgruppe heraus.
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx