web-dev-qa-db-ja.com

Server 2012-ホームフォルダー共有のアクセス許可

私は(成功せずに)サーバー2012でのユーザーホームフォルダー\ディレクトリのアクセス許可の設定についてヘルプを取得しようとしています。知りたいのは、各ユーザーが自分のファイルなどにアクセスできるが、表示できないようにするために必要なアクセス許可です。 \他のユーザーのホームフォルダーにアクセスします。

serProfiles」および「UserData」という名前のサーバー上にフォルダをすでに作成しています。ユーザーが初めてログオンすると、ホームフォルダーが「UserData」フォルダーのサブフォルダーとして作成されます\ server01\UserData $ \%username%

2
LondonGuy

2012年に大幅な変更がなければ、次のように動作するはずです。

サーバー(この場合はUserData $)の共有を、Admins/Domain Adminsのフルコントロールで設定し、Everyoneを「変更と読み取り」として設定します。

NTFSフォルダー "UserData"で、継承なしでアクセス許可を明示的に設定し、すべてのフォルダーを表示する必要があるDomain Admins以外のユーザーと共にDomain Adminsにフルコントロールのみを付与します。

次に、ADでユーザーを作成してホームフォルダーを設定すると、サブフォルダー%username%にそのユーザーのフルコントロールが自動的に付与されます。ユーザーはUserDataフォルダーを走査してドライブを\ server01\UserData $ \%username%にマップできるため、そのフォルダーのみにアクセスできます。ドライブを\ server01\UserData $にマップしても、それらは役に立ちません。

これが、私たちが長年にわたって常に設定してきた方法です。

2012では、ABEを簡単に有効にすることができます http://heineborn.com/tech/enable-access-based-enumeration-in-windows-server-2012/ ここで、ユーザーは自分が権限を持つフォルダーのみを表示しますに、しかし、これはあなたが上記を行う場合には必要さえありません。

6
TheCleaner

さて、ここに答えがあります... Flamebait lol ...あなたは業界に逆さまのロジックを持つ逆向きの人々がいるので、逆の観点から考えてください。したがって、より低いレベルでユーザーを制限する前に、ユーザーに実際に持たせたくないより高いレベルで権限を付与します。 NTとは異なり、すぐに使える状態でユーザーを作成してホームフォルダーを設定すると、デフォルトではユーザーはそのフォルダーに書き込むことができません。試行してその理由を特定するためのアクセス許可を確認しても、機能しないことを示すものは何もありません。しかし、繰り返しになりますが、システムファイルがブートパーティションに移動し、ブートファイルがシステムパーティションに移動するように指示された場合、それが加算されない理由を理解できます。ドライブウェイとパークウェイのドライブウェイに駐車していると言う人と同じ人が走っています。その問題を解決し、あなたは世界の問題を解決します。 :0)

0
user488278