Windows 도메인 사용자가 홈 디렉터리 하위 디렉터리를 삭제하지 못하도록 방지하는 가장 좋은 방법은 무엇입니까?

Windows 도메인 사용자가 홈 디렉터리 하위 디렉터리를 삭제하지 못하도록 방지하는 가장 좋은 방법은 무엇입니까?

저는 주로 Windows 7 Professional 클라이언트를 사용하는 Windows Server 2012 R2 도메인 컨트롤러에서 작업하고 있습니다.

저는 최근에 폴더 리디렉션과 사용자 프로필 로밍을 설정하여 각 도메인 사용자가 자신의 사용자 프로필과 문서를 모두 저장하는 네트워크 공유에 폴더를 갖게 되었습니다. 이러한 사용자 폴더에는 다음과 같은 형식이 있습니다.

D:\Users\%USERNAME%

파일 서버에서 그리고 그에 따라

\\MYSERVER\Users\%USERNAME%

도메인에서.

이 폴더는 사용자가 처음 로그인할 때 자동으로 생성되며 "응용 프로그램 데이터", "내 문서", "링크", "연락처" 및 "Profile.V2"를 포함한 모든 일반적인 의심 항목을 포함합니다.

이러한 모든 하위 폴더는 도메인 그룹 정책에 지정된 대로 사용자가 처음 로그인할 때 자동으로 생성됩니다. 특히 "Profile.V2"를 제외한 모든 하위 폴더는 폴더 리디렉션 정책의 결과입니다. "Profile.V2"는 로밍 사용자 프로필 정책의 결과입니다.

이 모든 것을 달성하기 위해 NTFS 권한을 설정했습니다.

D:\Users\%USERNAME%

Microsoft(지금은 어디에 있는지 기억이 나지 않습니다!)와 수많은 기타 파생 블로그 게시물에서 권장하는 대로입니다. 이러한 권한은,

Disable Inheritance

Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files

Allow - CREATOR OWNER - Full Control - Subfolders and Files

Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only

이것은 한 가지 문제가 있지만 나에게 잘 작동합니다. 사용자가 로그온하고 폴더 구조가 지정된 대로 생성되면 사용자는 자연스럽게 이러한 폴더를 원하는 대로 삭제할 수 있는 권한을 유지합니다. 이는 사용자가 실수로 또는 다른 방법으로 삭제(예: "데스크톱")할 수 있음을 의미합니다. 이로 인해 "Desktop" 폴더의 내용이 손실될 뿐만 아니라 다음 로그인 시 폴더 리디렉션도 중단됩니다.

내 질문은 사용자가 이러한 최상위 사용자 하위 폴더("Desktop", "Contacts", "Profile.V2" 및 나머지)를 삭제하지 못하도록 하는 가장 좋은 방법은 무엇입니까?상위 폴더에 대한 대체 권한을 실험했지만 이로 인해 사용자가 처음 로그인할 때 자동 폴더 생성이 필연적으로 중단되었습니다. 또한 스크립트를 사용하여 사용자가 처음 로그인한 후 프로그래밍 방식으로 이러한 하위 폴더에 대한 권한을 조정하려고 시도했지만 표시가 계속 누락되었습니다(Powershell을 사용하여 ACL을 수정하는 것은 골치 아픈 작업임이 입증되었습니다).

여기서 모범 사례 솔루션은 무엇입니까? 물론 이 문제에 직면한 사람이 나 혼자일 수는 없습니다!

답변1

각 프로필 폴더를 별도의 공유로 리디렉션합니다. 따라서 데스크탑 폴더는 \myserver\usersDesktops\%username%로 리디렉션됩니다.

테크넷 기사

답변2

제거하면 Allow - CREATOR OWNER - Full Control - Subfolders and Files 요즘에는 이것이 약간 중복되는 것 같고 어쩌면 그들이 당신이 말하는 것을 할 권리가 있는 이유일 수도 있습니다.

또한 다른 것들도 옳습니다. 유연성이 더 높으므로 분리하는 것이 더 좋습니다.

답변3

그래서 이를 수행하는 쉬운 방법이 없다는 것이 밝혀졌습니다.

로밍 프로필 루트 폴더(예: "Profile.V2")와 사용자 홈 루트 폴더(예: "내 문서" 및 나머지)의 위치를 ​​분리하라는 다른 포스터의 조언을 따랐으며 이는 잘 작동합니다. . 또한 공유 이름에 "$"를 추가하여 네트워크 검색에서 이러한 공유를 숨겼는데, 이는 사용자가 자신의 로밍 프로필 폴더에 액세스하는 것을 완전히 방지하는 효과가 있었습니다(매우 좋습니다). 솔직히 말해서 이 행동은 당혹스럽습니다. 그럼에도 불구하고 이는 매우 환영할 만한 일입니다!

나는 사용자가 자신의 데스크톱 폴더를 삭제하면 그 자신도 손해를 본다는 사실을 받아들여야 한다고 생각합니다! 운 좋게도 이러한 모든 공유에 대한 백업을 자주 수행하므로 피해를 완화하는 데 어느 정도 도움이 될 것입니다.

관련 정보