Estou trabalhando em um controlador de domínio do Windows Server 2012 R2, principalmente com clientes do Windows 7 Professional.
Recentemente, configurei o redirecionamento de pastas e o roaming de perfil de usuário, de modo que cada usuário do domínio tenha uma pasta em um compartilhamento de rede onde armazena seu perfil de usuário e seus documentos. Essas pastas de usuário têm formato,
D:\Users\%USERNAME%
no servidor de arquivos e, correspondentemente,
\\MYSERVER\Users\%USERNAME%
no domínio.
Essas pastas são geradas automaticamente no primeiro login do usuário e contêm todos os suspeitos usuais, incluindo "Dados de aplicativos", "Meus documentos", "Links", "Contatos" e "Profile.V2".
Todas essas subpastas também são geradas automaticamente no primeiro login do usuário, conforme especificado pela política de grupo do domínio. Especificamente, todas essas subpastas, com exceção de "Profile.V2", são o resultado de políticas de redirecionamento de pastas; "Profile.V2" é o resultado de políticas de perfil de usuário móvel.
Para conseguir tudo isso, configurei as permissões NTFS
D:\Users\%USERNAME%
conforme recomendado pela Microsoft (não me lembro onde agora!) E por inúmeras outras postagens de blog derivadas. Essas permissões são,
Disable Inheritance
Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files
Allow - CREATOR OWNER - Full Control - Subfolders and Files
Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only
Isso funciona bem para mim, com um problema. Depois que o usuário fizer logon e a estrutura de pastas for gerada conforme especificado, o usuário naturalmente retém a permissão para excluir qualquer uma dessas pastas conforme desejar. Isso significa que o usuário pode, por acidente ou não, excluir - por exemplo - "Desktop". Isso não apenas resulta na perda do conteúdo da pasta “Desktop”, mas também interrompe o redirecionamento da pasta no próximo login.
Minha pergunta é: qual é a melhor maneira de evitar que um usuário exclua essas subpastas de usuário de nível superior ("Desktop", "Contatos", "Profile.V2" e o resto)?Eu experimentei permissões alternativas na pasta pai, mas elas inevitavelmente interrompem a geração automática de pastas no primeiro login do usuário. Além disso, tentei ajustar as permissões nessas subpastas programaticamente após o login do usuário com um script - mas continuo errando o alvo (modificar ACLs usando o Powershell está provando ser uma dor de cabeça).
Qual é a solução de melhores práticas aqui? Certamente não posso ser o único que se depara com esse problema!
Responder1
Redirecione cada pasta de perfil para um compartilhamento separado. Portanto, a pasta Desktop é redirecionada para \myserver\usersDesktops\%username%.
Responder2
E se você remover, Allow - CREATOR OWNER - Full Control - Subfolders and Files
suspeito que isso seja um pouco redundante hoje em dia e talvez seja a razão pela qual eles têm o direito de fazer o que você diz.
Além disso, os outros estão certos, é melhor separá-los, pois você tem mais flexibilidade.
Responder3
Acontece que não há uma maneira fácil de fazer isso.
Segui o conselho dos outros postadores para separar os locais da pasta raiz do perfil móvel (por exemplo, para "Profile.V2") e da pasta raiz inicial do usuário (por exemplo, para "Meus Documentos" e o resto), e isso está funcionando bem . Também escondi esses compartilhamentos da navegação na rede (anexando "$" aos nomes dos compartilhamentos) e, de alguma forma, isso impediu completamente o usuário de acessar sua própria pasta de perfil móvel (o que é muito bom). Devo confessar que considero este comportamento desconcertante – mas é muito bem-vindo!
Acho que terei que conviver com o fato de que, se um usuário excluir sua própria pasta da área de trabalho, será sua própria perda! Felizmente, tenho backups frequentes de todos esses compartilhamentos, então isso deve ajudar a mitigar os danos.