Разрешения перенаправления папок Windows
У меня есть общий ресурс DFS на "\\corp\content\", в этом есть папка с именем Personal. Права владельца, администраторы домена и система имеют полные права на эту папку, а прошедшие проверку пользователи могут создавать папки, читать атрибуты и разрешения.
У меня есть групповая политика, перенаправляющая все возможные папки на рабочих столах в этот общий ресурс, например \\ corp \ content \ testuser \ desktop. Эти правила применяются к XP, но не предоставляют пользователю исключительных прав.
Когда пользователь входит в систему впервые (в XP), он создает папку, как и ожидалось, и у нее есть соответствующие права. Однако, когда он попадает в меню "Пуск", он создает \\corp\content\personal\testuser\Start Menu\Programs, и в этой папке отсутствуют какие-либо права для прав владельца (эти права, по-видимому, не наследуются). Однако \\corp\content\personal\testuser\Start Menu\ обладает такими же правами, как и ожидалось. Групповая политика не работает, так как она не может скопировать данные в созданный каталог.
Эта ошибка не относится к меню "Пуск", так как отключение этой ошибки приводит к аналогичной ошибке в данных приложения. Сервер - Windows Server 2008r2 Ent, клиент - Windows XP. Когда объект групповой политики требует предоставления исключительных прав, перенаправление работает, как ожидается.
Моя цель - сделать так, чтобы группа "Администраторы домена" могла читать папки, созданные путем перенаправления папок (для требований резервного копирования и службы поддержки).
Кто-нибудь достиг этого или знает, что может быть причиной вышеуказанной ошибки?
По запросу, раздел gpresult, относящийся к перенаправлению папок:
Folder Redirection
------------------
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\application data
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu\Programs\Startup
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\desktop
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\pictures
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\start menu\Programs
GPO: Policy: Folder Redirection and Offline Files
Setting: InstallationType: basic
Grant Type: Not Exclusive Rights
Move Type: Contents of Local Directory moved
Policy Removal: Leave folder in existing location
Redirecting Group: Everyone
Redirected Path: \\corp\content\personal\test1\documents
2 ответа
Я не позволяю клиентам Windows создавать свои перенаправленные папки. Честно говоря, мне кажется потенциальной атакой DoS иметь папку с возможностью записи на сервере, где любая учетная запись пользователя может создавать подпапки. (Само понятие клиента, создающего такие важные папки, кажется мне поврежденным мозгом - как и поведение по умолчанию, которое нарушает иерархию наследования разрешений и задает "Пользователь / Полный контроль". Кто в Microsoft придумал, что такое поведение имеет свою голову твердо в задницу и, очевидно, не управляет производственными файловыми серверами.)
Когда я предоставляю учетную запись пользователя (с помощью скрипта), я также создаю перенаправленные папки "Рабочий стол", "Данные приложения" и "Мои документы" (я нигде не перенаправляю меню "Пуск", но оно должно работать аналогично) в правильном месте и добавляю "Пользователь". / Полный контроль " ACL на папку сразу после ее создания. В родительском каталоге любой перенаправленной иерархии папок уже указаны "Администраторы / Полный доступ" и "Аутентифицированные пользователи / Список содержимого папки - только эта папка". Я получаю хорошую чистую иерархию наследования разрешений, а не папку, доступную для записи.
Это хорошо работает для меня с Windows 2000 через клиенты Windows 7. Я не возражаю против подготовки, так как я делаю это с помощью сценария, и это делает меня счастливым, потому что на моих серверных компьютерах нет доступной для записи папки.
Убедитесь , что настройки по этой ссылке