web-dev-qa-db-ja.com

継承可能なNTFSアクセス許可と、ユーザーフォルダーへのアクセスの防止Windows Server 2003/2008

少し背景:

現在、Windows Server 2003とADを使用して、ユーザーとそのデータを制御しています(中将来のある時点で、Server 2008 R2への更新を検討していますが、政治的な理由ですぐにではありません。ソリューションが問題なく2008に移行されることを願っています)。ユーザーの移動プロファイルフォルダー(Windows XPとWindows7フォルダーの両方)は、「Windows_Home」と呼ばれるネットワーク共有に保存されます。この記事を読みました: http: //technet.Microsoft.com/en-us/library/cc737633%28v=ws.10%29.aspx これは、Microsoftの「セキュリティに関する推奨事項」の記事であり、「親フォルダー」のアクセス許可を「Windows_Home」フォルダーのみ(これを試したときに、その下のサブフォルダーの一部でアクセス許可が拒否されたため、各フォルダーの所有権を管理者として個別に取得し、親に再度アクセス許可を適用して、完全に受け継がれましたか?その後、元の所有者をフォルダに再適用すると、生活は良好になりますか?).

私の知る限り、各個人のフォルダは現在親から継承されていますが、私が知らない追加の権限を持っているものもあります。この方法のみ(親の「Windows_Home」のストーリーの終わりから継承する)、または各個人のフォルダーがアクセス許可を継承せず、独自のアクセス許可のセットを持っている必要があります(ただし、各フォルダーで同じです。つまり、Admin +所有者+完全に制御できるシステム)?

継承するだけの場合、これは別のユーザーのフォルダーを別のユーザーとして表示する機能にも影響しますか?たとえば、ユーザー「jhendrix」と「tpetty」には「user.V2」フォルダーがあり、現在、他のユーザーがファイル/フォルダーを表示して開くことができます。したがって、tpettyはネットワークを介してjhendrix.V2に移動し、ドキュメントを読んでファイルを作成することができます。その逆も可能です。これを親フォルダーレベルで変更して、「サブフォルダーの所有者と管理者のみがこのフォルダーにアクセスでき、他のユーザーはアクセスできない」と言うことはできますか?それとも、これは各フォルダーで個別に行われるだけですか?これは非常に面倒です。

簡単に言えば、目標は、親フォルダーとユーザーフォルダーに関するTechnetの記事に従って、Microsoftが推奨する移動プロファイルのアクセス許可を取得することです。フォルダーの所有者(もちろん、ドメインユーザー)、システム、および管理者のみが完全に使用できます。それとコンテンツへのアクセス(一時的なプロファイルや部分的に同期されたプロファイルの問題は発生しません)が、他のすべてのユーザーがそこに移動しようとすると「フォルダにアクセスできません」というメッセージが表示されます。この目標に近づくために私は何をすべきですか?私はすでにそこにいますか?ガイダンスが必要です、どうもありがとう!

windows-server-2003file-permissionsroaming-profilehome-directory
1
Mr. Starburst

継承をブロックするたびに、将来の柔軟性が失われます。継承をブロックすることは絶対に避けます。あなたはそれについて心配するのは正しいです。

私はいつも、この機能に関してマイクロソフトの推奨事項は間違っていると思っていました。それらは、実際の展開シナリオをまったく代表していないようです。少なくとも、このような重要なフォルダー階層の最上位でユーザーに「サブフォルダーの作成」権限を与えることにより、サービス拒否攻撃が発生する可能性があります。アカウントプロビジョニングの一環として、ユーザープロファイルフォルダー(およびその他のユーザーごとのフォルダー)を事前に作成する必要があると思います。

ユーザープロファイル(およびその他のユーザーごとのフォルダー)の標準操作手順は次のとおりです。

ユーザーが最上位フォルダーの内容を一覧表示できるようにする必要があるため、次のアクセス許可を使用します。

  • システム-フルコントロール-このフォルダー、サブフォルダー、およびファイルに適用されます
  • BUILTIN\Administrators-フルコントロール-このフォルダー、サブフォルダー、およびファイルに適用されます
  • BUILTIN\Authenticationed Users(または利用可能な場合はより制限の厳しいグループ)-読み取りと実行-このフォルダーにのみ適用

注意:最後の権限を設定する必要がありますnotサブフォルダーに継承します(つまり、「このフォルダーのみ」に適用されます)。このアクセス許可により、クライアントは最上位フォルダーの内容を列挙できますが、サブフォルダーまたはファイルに継承されないため、サブフォルダーへのアクセスは許可されません。

各サブフォルダーで、継承は有効なままです。そのサブフォルダーに「フルコントロール」権限を持つユーザーを追加するだけです。

スクリプトを介してこれを行うこともできます。

set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "x:\Windows_Home\%userDir%" /r /d y
ICACLS "x:\Windows_Home\%userDir%" /reset /T
ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F
ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T

クライアントコンピューターがプロファイルフォルダーがユーザーによって「所有」されていないことについて不平を言うのを防ぐために、グループポリシー設定「移動プロファイルフォルダーのユーザー所有権を確認しない」を有効にする必要があります。私はこれを標準操作手順の一部としてドメイン全体に設定しました。

2
Evan Anderson