Permissões NTFS para o compartilhamento de raiz que hospeda diretórios Home Windows Server 2008 R2

9

Estou usando a guia Perfil do AD para criar automaticamente os Diretórios base em \server\home , para que as permissões sejam criadas automaticamente.

Quais devem ser as permissões NTFS para a pasta real na qual os diretórios base são criados ( \server\home )?

Além disso, as permissões de compartilhamento são sempre Everyone :: Full Access, pois eu controle o acesso real com permissões NTFS; é esse o método correto?

    
por Gregg 09.12.2012 / 20:43

4 respostas

14

Isto é o que eu tenho nos meus favoritos para referência:

link

  • PROPRIETÁRIO DO CRIADOR - Controle total (Aplicar somente em subpastas e arquivos)
  • Sistema - Controle total (Aplicar em: esta pasta, subpastas e arquivos)
  • Admins. do domínio - Controle total (Aplicar para: esta pasta, subpastas e arquivos)
  • Todos - Criar dados de pasta / acréscimo (Aplicar em: somente esta pasta)
  • Todos - Listar pasta / Ler dados (Aplicar em: somente esta pasta)
  • Todos - Atributos de leitura (Aplicar em: somente esta pasta)
  • Todos - Atravessar pasta / executar arquivo (Aplicar em: somente esta pasta)

Também recomenda definir permissões de compartilhamento como:

  • Todos - Controle total
por 09.12.2012 / 20:56
6

Está documentado aqui:

link

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

Além disso, você deve editar a ACE para usuários autenticados para que ela se aplique somente a esta pasta.

    
por 09.12.2012 / 21:52
2

Expandindo a resposta de @ Dan ...

Concorde com Proprietário Criador, mas nunca concedo FC aos usuários. Isso permite que eles definam suas próprias DACLs, o que, na minha experiência, traz um mundo de dor, quando o estranho usuário avançado (leia "dor no ar $ e) remove permissões para SYSTEM, impedindo assim que você faça o backup de seus arquivos. , normalmente limita o usuário dos dados para Modificar (mudança na linguagem da velha escola).

SYSTEM: FC, sim.

Admins do domínio: não. Especifique o grupo de administradores locais do servidor.

Todos: Por quê? Pessoalmente, nunca usaria "Everyone" de qualquer forma, pois inclui usuários não autenticados.

Permissões de compartilhamento - concordo. Eles servem apenas para confundir consultas de acesso.

    
por 09.12.2012 / 21:39
1

Concordo que é melhor controlar o acesso no nível do NTFS em vez do nível de compartilhamento, mas, independentemente de você fornecer Controle total, os usuários sempre poderão definir permissões nos arquivos criados por eles, pois eles são proprietários.

Se você quiser impedir que eles alterem as permissões mesmo em objetos que possuem, faça as permissões na mudança de compartilhamento (para todos) em vez de Full.

Então, você pode dar a eles Full (NTFS) em seu próprio diretório home, então é óbvio o que está acontecendo.

    
por 06.06.2013 / 18:24