Это должно быть очень просто. У меня папки «Документы» перенаправлены в общий ресурс с именем //dc/documents. Он создает папку в этом общем ресурсе для каждого человека, а затем создает папку в нем для «Мои документы». Разрешения безопасности для этого общего ресурса //dc/documents следующие:
- Разрешения на общий доступ:
- Все - Полный контроль
- Все - Полный контроль
- Разрешения NTFS:
- Все (только эта папка) — список папок/чтение данных, чтение атрибутов, чтение расширенных атрибутов, чтение разрешений
- СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (только подпапки и файлы) — полный доступ
- СИСТЕМА (Эта папка, подпапки и файлы) - Полный доступ
- Администраторы (эта папка, подпапки и файлы) — полный доступ
- Администраторы домена (эта папка, подпапки и файлы) — полный доступ
Моя проблема возникает, когда я вхожу во встроенную учетную запись администратора на PDC. Хотя эта учетная запись является частью групп администраторов домена и администраторов, у меня нет разрешения на просмотр подпапок и файлов. Я не вижу никаких унаследованных разрешений, которые должны помешать мне делать что угодно внутри этих папок. Есть ли какая-то волшебная кнопка, которую я должен нажать при открытии папок? Это становится все более раздражающим.
решение1
У вас отмечен флажок "Предоставить пользователю исключительные права..." на вкладке "Настройки" настроек перенаправления папок. Отключите его, и клиентское расширение перенаправления папок (CSE) добавит "Администраторов" к разрешениям на создаваемые им папки.
Лично я заранее создаю подпапки для пользователей, потому что Folder Redirection CSE отключает наследование в создаваемых им подпапках (что я считаю Плохой Вещью TM ). Если вы заранее создадите папки и добавите "Пользователь / Полный доступ" к подпапке, Folder Redirection CSE будет счастлив и оставит иерархию наследования в ваших папках нетронутой.
Если вы хотите "исправить" папки, которые у вас уже есть, вы можете использовать что-то вроде icaclsутилиты в скрипте для очистки разрешений. Предполагая, что все подпапки названы по samAccountNames пользователей, вы можете сделать что-то вроде следующего:
FOR /D %%d in (E:\Home Directories\*) DO (
TAKEOWN /f "E:\Home Directories\%%d" /r /d y
ICACLS "E:\Home Directories\%%d" /reset /T
ICACLS "E:\Home Directories\%%d" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%%d" /setowner "MYDOMAIN\%userDir%" /T
)
Это снова даст вам красивую, понятную иерархию наследования с указанным пользователем с разрешением «Полный доступ» для каждой подпапки.
решение2
При настройке перенаправления папок через GPO есть возможность предоставить пользователю эксклюзивный доступ к перенаправленным папкам. Эта опция включена по умолчанию, и я подозреваю, что даже если вы попытались предоставить разрешения на родительском уровне, эта настройка GPO вызывает проблему. Даже если кажется, что вы установили надлежащие разрешения на родительском уровне, Windows удаляет эти разрешения, поскольку перенаправленные папки создаются из-за настройки GPO.
Если вы измените настройки GPO, это повлияет на все новые папки, созданные, но не на существующие. Самый простой способ обойти это — снять отметку с параметра GPO, сделать резервную копию данных, удалить существующие папки, позволить Windows заново создать папки и восстановить данные.
решение3
Вы уверены, что у вас проблемы только с UAC?
UAC отфильтровывает использование вами группы администраторов в качестве способа защиты.
http://technet.microsoft.com/en-us/library/cc709691(WS.10).aspx