Chúng tôi sử dụng chính sách nhóm chuyển hướng thư mục để đặt các thư mục Tài liệu của tôi của người dùng trên một mạng chia sẻ.

Chúng tôi đã định cấu hình chia sẻ với các quyền NTFS được đề xuất của Microsoft, như được định nghĩa tại đây: https://support.microsoft.com/en-us/help/274443/how-to-dynamently-create-security-enhanced-rediited-folders-by -sin . Đặc biệt:

  • CREATOR OWNER - Full Control (Apply onto: Subfolders and Files Only)
  • System - Full Control (Apply onto: This Folder, Subfolders and Files)
  • Domain Admins - Full Control (Apply onto: This Folder, Subfolders and Files)
  • Everyone - Create Folder/Append Data (Apply onto: This Folder Only)
  • Everyone - List Folder/Read Data (Apply onto: This Folder Only)
  • Everyone - Read Attributes (Apply onto: This Folder Only)
  • Everyone - Traverse Folder/Execute File (Apply onto: This Folder Only)

Tuy nhiên, bài viết KB đó cũng nêu rõ (các điểm chính được in đậm):

By the end of May 2017, all supported operating systems converted the CREATOR OWNER ACE to:

    <Folder-User> - Full Control (Apply onto: This Object only)

Whereas this does not affect the daily operations of the folders for the users, it makes a difference when the administrator has to work on the contents of the home folders or redirected folders.

If you want to make sure the user to get the inheritable full control on all child objects, you have to:

Create the folder matching for the users samaccountname by yourself. Set the permissions that are needed for the folder, omit the Everyone ACEs above, and make sure that you have the ACE:

    <Folder-User> - Full Control (Apply onto: This Folder, Subfolders and Files)

Nói cách khác, nếu SYSTEM tạo một thư mục con trong thư mục của người dùng, người dùng sẽ không thể truy cập vào thư mục con đó vì họ không còn được thừa hưởng toàn quyền kiểm soát nó như trước đây.

Giải pháp của Microsoft cho vấn đề này là tạo thủ công thư mục gốc của người dùng và đặt các quyền của người dùng theo cách thủ công với phạm vi cần thiết.

Có cách nào để tự động hóa việc này thông qua chính sách nhóm không, hay ở đây chỉ có tập lệnh là lựa chọn duy nhất?

answer

Đó là hành vi được mong đợi đối với CHỦ SỞ HỮU SÁNG TẠO, và nó có vẻ như chưa từng có bất kỳ sự khác biệt nào; Tôi nghĩ rằng phụ lục của bài báo là sai lệch về mặt đó. Theo kinh nghiệm của tôi, nó thường không thành vấn đề, bởi vì bạn thường không muốn thêm nội dung vào thư mục của người dùng. Đó có lẽ là lý do tại sao bài báo gốc không bao giờ đề cập đến nó.

Nếu bạn không tạo trước thư mục của từng người dùng với các quyền được chọn rõ ràng, thì theo chính sách nhóm, bạn chỉ có hai tùy chọn: nếu bạn đặt tùy chọn "Cấp cho người dùng độc quyền", họ sẽ có toàn quyền truy cập toàn bộ thư mục và nội dung, nhưng không ai khác làm như vậy; nếu bạn không đặt nó, họ chỉ có quyền truy cập vào nội dung do chính họ tạo ra.

Nếu bạn chọn tùy chọn đầu tiên, bạn có thể sử dụng đặc quyền sao lưu để bỏ qua quyền bất cứ khi nào bạn muốn thêm nội dung. Điều này rất thanh lịch, nhưng có thể gây bất tiện vì các công cụ tích hợp để sử dụng đặc quyền sao lưu khá hạn chế.

Nếu bạn sử dụng tùy chọn thứ hai, bạn có thể thay đổi quyền trên thư mục của người dùng trước khi thêm nội dung; hoặc bạn có thể đặt rõ ràng các quyền đối với nội dung mà bạn đang thêm.

Một cách tiếp cận khác (như bạn đề xuất) là sử dụng tập lệnh đăng nhập chính sách nhóm để thay đổi quyền trên thư mục của người dùng khi người dùng đăng nhập lần đầu. Đây có thể là tùy chọn thuận tiện nhất nếu bất kỳ quy trình nào đang thêm nội dung vào thư mục của người dùng không dưới sự kiểm soát của bạn.