ADUC(Windows Server 2008 R2の場合)を使用する場合は、新しいユーザーのホームフォルダーの所有者をBUILTIN \ Administratorsではなくuserに設定します
ADでは、ADUCのデフォルトユーザーをコピーして新しいユーザーを作成します。デフォルトのユーザーの場合、%USERNAME%変数(H :)を使用してホームフォルダーを指定しました:\ fileserver\homes \%USERNAME%
新規ユーザーの場合、サーバー上のホームフォルダーは、BUILTIN\Administratorsを所有者として設定して自動的に作成されます。ただし、ユーザーを所有者として設定する必要があります。どうすればこれを達成できますか?
親フォルダー(ホーム)に設定されているアクセス許可は次のとおりです。
CREATOR OWNER Full Subfolders and files only
g_admins Full This folder, subfolders and files
SYSTEM Full This folder, subfolders and files
Authenticated Users Read, Append This folder only
(Owner: g_admins)
どうして?あなたの許可も奇妙に思えます。 「バイパストラバースチェック」のデフォルトのサーバー動作を変更していないと仮定すると、必要なのは次のとおりです。
\ fileserver\homes
ドメイン管理者=フル
G_Admins =フル
ADUCでユーザーを作成し、そのユーザーのホームドライブを割り当てる場合:
\ fileserver\homes \%username%
これらの権限を次のように設定する必要があります。
- ドメイン管理者=フル
- G_Admins =フル
- %username%= Full(ユーザーのログインIDが何であれ)
認証されたユーザーに全員のホームフォルダーへの読み取りアクセス権を持たせたい場合は、読み取りアクセス権を使用してユーザーを\ fileserver\homesフォルダーに追加します。
しかし、おそらくあなたのセットアップには理由があります...私がそれをどのように行うかをあなたに示すだけです。
CREATOR OWNERセキュリティ原則を「homes」フォルダに追加し、ホームフォルダが作成されたときにユーザーに最終的に付与する権限を割り当てる必要があります。これにより、自動的に所有者として設定され、権限も事前設定されます。
ベストプラクティスとして、自分のファイルであっても、ユーザーに完全ではなく変更権限を付与する必要があることに注意してください。私が見た一般的な問題は、「精通した」ユーザーがファイルからSYSTEMおよびAdministrators権限を取得して削除することです。これにより、最終的にファイルのバックアップが妨げられ、サーバーによるクォータの実施やその他のメンテナンスに影響を与える可能性があります。管理者。