Я работаю на контроллере домена Windows Server 2012 R2, в основном с клиентами Windows 7 Professional.
Недавно я настроил перенаправление папок и роуминг профилей пользователей, так что у каждого пользователя домена есть папка на сетевом ресурсе, где он хранит как свой профиль пользователя, так и свои документы. Эти папки пользователей имеют форму,
D:\Users\%USERNAME%
на файловом сервере и, соответственно,
\\MYSERVER\Users\%USERNAME%
на домене .
Эти папки создаются автоматически при первом входе пользователя в систему и содержат все обычные папки, включая «Данные приложения», «Мои документы», «Ссылки», «Контакты» и «Профиль.V2».
Все эти подпапки также автоматически генерируются при первом входе пользователя в систему, как указано в групповой политике домена. В частности, все эти подпапки, за исключением "Profile.V2", являются результатом политик перенаправления папок; "Profile.V2" является результатом политик перемещаемых профилей пользователей.
Чтобы добиться всего этого я установил разрешения NTFS на
D:\Users\%USERNAME%
как рекомендует Microsoft (не помню где именно!) и бесчисленное множество других производных постов в блогах. Эти разрешения,
Disable Inheritance
Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files
Allow - CREATOR OWNER - Full Control - Subfolders and Files
Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only
У меня это работает хорошо, но есть одна проблема. После того, как пользователь вошел в систему и структура папок сгенерирована так, как указано, пользователь, естественно, сохраняет разрешение на удаление любой из этих папок по своему усмотрению. Это означает, что пользователь может, случайно или иным образом, удалить, например, "Рабочий стол". Это не только приводит к потере содержимого папки "Рабочий стол", но и нарушает перенаправление папок при следующем входе в систему.
Мой вопрос заключается в следующем: как лучше всего запретить пользователю удалять эти подпапки верхнего уровня («Рабочий стол», «Контакты», «Профиль.V2» и остальные)?Я экспериментировал с альтернативными разрешениями на родительскую папку, но они неизбежно нарушают автоматическую генерацию папок при первом входе пользователя в систему. Более того, я пытался программно настроить разрешения на эти подпапки после первого входа пользователя в систему с помощью скрипта, но я все время промахиваюсь (изменение ACL с помощью Powershell оказалось чем-то вроде головной боли).
Какое здесь наилучшее решение? Конечно, я не единственный, кто столкнулся с этой проблемой!
решение1
Перенаправить каждую папку профиля в отдельный общий ресурс. Таким образом, папка Desktop перенаправляется в \myserver\usersDesktops\%username%.
решение2
А что если вы удалите? Allow - CREATOR OWNER - Full Control - Subfolders and Files
Я подозреваю, что в наши дни это немного излишне, и, возможно, именно поэтому у них есть право делать то, что вы говорите.
Остальные тоже правы, лучше разделить их, так вы получите больше гибкости.
решение3
Оказывается, сделать это не так-то просто.
Я последовал совету других авторов и разделил места расположения корневой папки перемещаемого профиля (например, для "Profile.V2") и корневой папки пользователя (например, для "My Documents" и остальных), и это работает хорошо. Я также скрыл эти общие папки от просмотра в сети (добавив "$" к их именам общих папок), и каким-то образом это полностью закрыло пользователю доступ к его собственной папке перемещаемого профиля (что очень хорошо). Должен признаться, что я нахожу такое поведение озадачивающим — тем не менее, оно очень приветствуется!
Думаю, мне придется смириться с тем, что если пользователь удалит свою папку на рабочем столе, то это его потеря! К счастью, я регулярно делаю резервные копии всех этих общих папок, так что это должно как-то смягчить ущерб.