我正在使用 Windows Server 2012 R2 網域控制站,主要使用 Windows 7 Professional 用戶端。
我最近設定了資料夾重新導向和使用者設定檔漫遊,以便每個網域使用者在網路共用上都有一個資料夾,其中儲存其使用者設定檔和文件。這些用戶資料夾具有以下形式:
D:\Users\%USERNAME%
在檔案伺服器上,相應地,
\\MYSERVER\Users\%USERNAME%
在域上。
這些資料夾是在使用者首次登入時自動產生的,包含所有常見的資料夾,包括「應用程式資料」、「我的文件」、「連結」、「聯絡人」和「Profile.V2」。
所有這些子資料夾也會根據網域群組原則的指定,在使用者首次登入時自動產生。具體來說,除了「Profile.V2」之外的所有這些子資料夾都是資料夾重定向策略的結果; 「Profile.V2」是漫遊使用者設定檔策略的結果。
為了實現這一切,我設定了 NTFS 權限
D:\Users\%USERNAME%
正如微軟(現在不記得在哪裡了!)和無數其他衍生部落格文章所推薦的那樣。這些權限是,
Disable Inheritance
Allow - SYSTEM - Full Control - This Folder, Subfolders and Files
Allow - Administrator - Full Control - This Folder, Subfolders and Files
Allow - CREATOR OWNER - Full Control - Subfolders and Files
Allow - MyUserGroup - Special (List Folder / Read Data; Create Folders / Append Data) - This Folder Only
這對我來說效果很好,但有一個問題。一旦使用者登入,並且按照指定生成資料夾結構,使用者自然保留隨意刪除任何這些資料夾的權限。這意味著用戶可能會意外或以其他方式刪除“桌面”等。這不僅會導致「桌面」資料夾的內容遺失,還會破壞下次登入時的資料夾重新導向。
我的問題是,防止用戶刪除這些頂級用戶子資料夾(「桌面」、「聯絡人」、「Profile.V2」等)的最佳方法是什麼?我已經嘗試過對父資料夾使用替代權限,但這些不可避免地會破壞用戶首次登入時的自動資料夾產生。此外,我嘗試在使用者首次使用腳本登入後以程式方式調整這些子資料夾的權限 - 但我總是錯過標記(使用 Powershell 修改 ACL 被證明是一件令人頭痛的事情。)
這裡的最佳實踐解決方案是什麼?當然我不是唯一遇到這個問題的人!
答案1
將每個設定檔資料夾重新導向到單獨的共用。因此,桌面資料夾被重定向到 \myserver\usersDesktops\%username%。
答案2
如果你刪除怎麼辦Allow - CREATOR OWNER - Full Control - Subfolders and Files
我懷疑現在這有點多餘,也許這就是他們有權按照你所說的去做的原因。
其他人也是對的,最好將它們分開,因為你有更大的靈活性。
答案3
事實證明,沒有簡單的方法可以做到這一點。
我採納了其他發文者的建議,將漫遊設定檔根資料夾(例如「Profile.V2」)和使用者主根資料夾(例如「我的文件」和其餘部分)的位置分開,效果很好。我還從網頁瀏覽中隱藏了這些共享(透過在共享名稱後附加“$”),並且以某種方式,這具有完全阻止用戶訪問他們自己的漫遊配置文件資料夾的效果(這非常好)。我必須承認,我發現這種行為令人困惑 - 儘管如此,它還是非常受歡迎的!
我想我只能接受這樣一個事實:如果用戶刪除了自己的桌面資料夾,那麼這就是他們自己的損失!幸運的是,我經常備份所有這些共享,因此這應該可以在一定程度上減輕損害。