¿Cuál es la mejor manera de evitar que un usuario de dominio de Windows elimine los subdirectorios de su directorio de inicio?

¿Cuál es la mejor manera de evitar que un usuario de dominio de Windows elimine los subdirectorios de su directorio de inicio?

Estoy trabajando en un controlador de dominio de Windows Server 2012 R2, principalmente con clientes de Windows 7 Professional.

Recientemente configuré la redirección de carpetas y la itinerancia de perfiles de usuario, de modo que cada usuario de dominio tenga una carpeta en un recurso compartido de red donde almacena tanto su perfil de usuario como sus documentos. Estas carpetas de usuario tienen forma,

D:\Users\%USERNAME%

en el servidor de archivos y, correspondientemente,

\\MYSERVER\Users\%USERNAME%

en el dominio.

Estas carpetas se generan automáticamente cuando el usuario inicia sesión por primera vez y contienen todos los archivos sospechosos habituales, incluidos "Datos de la aplicación", "Mis documentos", "Enlaces", "Contactos" y "Perfil.V2".

Todas estas subcarpetas también se generan automáticamente en el primer inicio de sesión del usuario, como lo especifica la política del grupo de dominio. En concreto, todas estas subcarpetas a excepción de "Profile.V2" son el resultado de políticas de redirección de carpetas; "Profile.V2" es el resultado de políticas de perfiles de usuarios móviles.

Para lograr todo esto, he configurado permisos NTFS en

D:\Users\%USERNAME%

como lo recomienda Microsoft (¡no recuerdo dónde ahora!) y muchas otras publicaciones de blog derivadas. Estos permisos son,

Disable Inheritance

Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files

Allow - CREATOR OWNER - Full Control - Subfolders and Files

Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only

Esto funciona bien para mí, con un problema. Una vez que un usuario ha iniciado sesión y la estructura de carpetas se genera según lo especificado, el usuario naturalmente conserva el permiso para eliminar cualquiera de estas carpetas como desee. Esto significa que el usuario podría, por accidente o de otro modo, eliminar, por ejemplo, "Escritorio". Esto no sólo resulta en una pérdida del contenido de la carpeta "Escritorio", sino que también interrumpe la redirección de carpetas en el siguiente inicio de sesión.

Mi pregunta es, ¿cuál es la mejor manera de evitar que un usuario elimine estas subcarpetas de usuario de nivel superior ("Escritorio", "Contactos", "Perfil.V2" y el resto)?He experimentado con permisos alternativos en la carpeta principal, pero estos inevitablemente interrumpen la generación automática de carpetas cuando el usuario inicia sesión por primera vez. Además, he intentado ajustar los permisos en estas subcarpetas mediante programación después de que el usuario inicie sesión por primera vez con un script, pero sigo sin dar en el blanco (modificar las ACL usando Powershell está demostrando ser un dolor de cabeza).

¿Cuál es la solución de mejores prácticas aquí? ¡Seguramente no puedo ser el único que se ha encontrado con este problema!

Respuesta1

Redirija cada carpeta de perfil a un recurso compartido independiente. Entonces la carpeta Escritorio se redirige a \myserver\usersDesktops\%username%.

Artículo de Technet

Respuesta2

¿Qué pasa si lo eliminas? Allow - CREATOR OWNER - Full Control - Subfolders and Files Sospecho que esto es un poco redundante en estos días y tal vez sea la razón por la que tienen los derechos para hacer lo que dices.

Además, los demás tienen razón, es mejor separarlos, ya que tienes más flexibilidad.

Respuesta3

Entonces resulta que no hay una manera fácil de hacer esto.

Seguí el consejo de otros carteles de separar las ubicaciones de la carpeta raíz del perfil móvil (por ejemplo, para "Profile.V2") y la carpeta raíz de inicio del usuario (por ejemplo, para "Mis documentos" y el resto), y esto está funcionando bien. . También oculté estos recursos compartidos de la navegación en la red (agregando "$" a los nombres de sus recursos compartidos) y de alguna manera esto tuvo el efecto de evitar por completo que el usuario acceda a su propia carpeta de perfil móvil (lo cual es muy bueno). Debo confesar que este comportamiento me parece desconcertante, ¡pero es muy bienvenido!

Supongo que tendré que vivir con el hecho de que si un usuario elimina su propia carpeta de Escritorio, ¡es su propia pérdida! Afortunadamente, tengo copias de seguridad frecuentes de todos estos recursos compartidos, por lo que eso debería ayudar de alguna manera a mitigar el daño.

información relacionada