Ich arbeite an einem Windows Server 2012 R2-Domänencontroller, hauptsächlich mit Windows 7 Professional-Clients.
Ich habe vor kurzem Ordnerumleitung und Benutzerprofil-Roaming eingerichtet, so dass jeder Domänenbenutzer einen Ordner auf einer Netzwerkfreigabe hat, in dem er sowohl sein Benutzerprofil als auch seine Dokumente speichert. Diese Benutzerordner haben folgende Form:
D:\Users\%USERNAME%
auf dem Dateiserver und dementsprechend
\\MYSERVER\Users\%USERNAME%
auf der Domäne.
Diese Ordner werden bei der ersten Anmeldung des Benutzers automatisch generiert und enthalten alle üblichen Verdächtigen, darunter „Anwendungsdaten“, „Eigene Dokumente“, „Links“, „Kontakte“ und „Profil.V2“.
Alle diese Unterordner werden auch automatisch bei der ersten Anmeldung des Benutzers generiert, wie in der Domänengruppenrichtlinie angegeben. Insbesondere sind alle diese Unterordner mit Ausnahme von „Profile.V2“ das Ergebnis von Ordnerumleitungsrichtlinien; „Profile.V2“ ist das Ergebnis von Roaming-Benutzerprofilrichtlinien.
Um dies alles zu erreichen, habe ich NTFS-Berechtigungen festgelegt für
D:\Users\%USERNAME%
wie von Microsoft empfohlen (ich weiß nicht mehr, wo!) und von unzähligen anderen abgeleiteten Blogbeiträgen. Diese Berechtigungen sind
Disable Inheritance
Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files
Allow - CREATOR OWNER - Full Control - Subfolders and Files
Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only
Das funktioniert bei mir gut, allerdings mit einem Problem. Sobald sich ein Benutzer angemeldet hat und die Ordnerstruktur wie angegeben erstellt wurde, behält der Benutzer natürlich die Berechtigung, diese Ordner nach Belieben zu löschen. Das bedeutet, dass der Benutzer aus Versehen oder auf andere Weise beispielsweise „Desktop“ löschen könnte. Dies führt nicht nur zum Verlust des Inhalts des Ordners „Desktop“, sondern unterbricht auch die Ordnerumleitung bei der nächsten Anmeldung.
Meine Frage lautet: Wie kann ich am besten verhindern, dass ein Benutzer diese Benutzerunterordner der obersten Ebene („Desktop“, „Kontakte“, „Profile.V2“ und der Rest) löscht?Ich habe mit alternativen Berechtigungen für den übergeordneten Ordner experimentiert, aber diese führen zwangsläufig dazu, dass die automatische Ordnererstellung bei der ersten Anmeldung des Benutzers nicht funktioniert. Darüber hinaus habe ich versucht, die Berechtigungen für diese Unterordner nach der ersten Anmeldung des Benutzers programmgesteuert mit einem Skript anzupassen – aber ich schaffe es nicht (das Ändern von ACLs mit Powershell erweist sich als ziemlich mühsam).
Was ist hier die beste Lösung? Ich kann doch nicht der Einzige sein, der dieses Problem hat!
Antwort1
Leiten Sie jeden Profilordner auf eine separate Freigabe um. Der Desktop-Ordner wird also auf \myserver\usersDesktops\%username% umgeleitet.
Antwort2
Was passiert, wenn Sie es entfernen? Allow - CREATOR OWNER - Full Control - Subfolders and Files
Ich vermute, das ist heutzutage etwas überflüssig und vielleicht der Grund, warum sie das Recht haben, das zu tun, was Sie sagen.
Auch die anderen haben Recht, es ist besser, sie zu trennen, da Sie so mehr Flexibilität haben.
Antwort3
Es stellt sich also heraus, dass es hierfür keinen einfachen Weg gibt.
Ich habe den Rat der anderen Poster befolgt und die Speicherorte des Stammordners des Roaming-Profils (z. B. für „Profile.V2“) und des Stammordners des Benutzers (z. B. für „Eigene Dateien“ und den Rest) getrennt, und das funktioniert gut. Ich habe diese Freigaben auch vor dem Durchsuchen des Netzwerks verborgen (indem ich ihren Freigabenamen ein „$“ angehängt habe), und irgendwie hatte dies den Effekt, dass der Benutzer vollständig daran gehindert wurde, auf seinen eigenen Roaming-Profilordner zuzugreifen (was sehr gut ist). Ich muss gestehen, dass ich dieses Verhalten verwirrend finde – dennoch ist es sehr willkommen!
Ich schätze, ich muss einfach damit leben, dass es ein Verlust für einen Benutzer ist, wenn er seinen eigenen Desktop-Ordner löscht! Glücklicherweise erstelle ich regelmäßig Backups aller dieser freigegebenen Ordner, sodass der Schaden einigermaßen gemindert werden sollte.