Permissões de NTFS herdáveis e impedindo o acesso a pastas do usuário Windows Server 2003/2008

Question

Permissões de NTFS herdáveis e impedindo o acesso a pastas do usuário Windows Server 2003/2008

#1 resposta do (2 votos)

1

Um pouco de fundo:

Atualmente, usamos o Windows Server 2003 e o AD para controlar os usuários e seus dados (estamos pensando em atualizar para o Server 2008 R2 em algum momento no futuro médio, mas não imediatamente devido à política. Esperamos que a solução seja transferida para 2008 sem problemas). As pastas de perfil móvel dos usuários (pastas do Windows XP e do Windows 7) são armazenadas em um compartilhamento de rede que chamaremos de "Windows_Home". Eu li este artigo: link , que é o " Recomendações de segurança "artigo da Microsoft e aplicadas as permissões 'pasta pai' à pasta" Windows_Home "somente (algumas das subpastas abaixo me deram permissão negada quando tentei isso, então acho que assumirei a propriedade de cada pasta como administrador individualmente e, em seguida, reaplicar as permissões novamente no pai para que eles sejam passados completamente? Em seguida, reaplicar o proprietário original para a pasta ea vida deve ser boa?).

As pastas de cada indivíduo estão sendo herdadas do pai, no meu conhecimento, mas algumas têm permissões adicionais das quais não conheço. Deve ser apenas desta forma (apenas herdando do fim da história "Windows_Home" pai), ou a pasta de cada indivíduo não deve herdar as permissões e ter seu próprio conjunto de permissões (embora seja o mesmo para cada pasta, por exemplo, Admin + proprietário + Sistema com controle total)?

Se fosse apenas para herdar, isso também afetaria a capacidade de visualizar as pastas de outro usuário? Por exemplo, os usuários "jhendrix" e "tpetty" têm sua pasta "user.V2", que atualmente pode ser visualizada e arquivos / pastas criados e abertos pelo outro. Então tpetty pode navegar através da rede para jhendrix.V2 e ler seus documentos e fazer arquivos, e vice-versa. Isso pode ser alterado no nível da pasta pai para dizer "Somente o proprietário de uma subpasta e o Administrador podem acessar essa pasta e ninguém mais?" Ou isso só é feito em cada pasta individualmente, o que seria muito chato?

Simplificando, o objetivo é ter as permissões de perfil móvel recomendadas pela Microsoft de acordo com o artigo da Technet nas pastas pai e usuário, com apenas o proprietário da pasta (quem é, é claro, um usuário de domínio), SYSTEM e Administrador com acesso total a ele e ao conteúdo (para que não recebamos nenhum perfil temporário ou problemas de perfil parcialmente sincronizados), enquanto todos os outros usuários recebem a mensagem "Não é possível acessar a pasta" quando tentam navegar nele. O que devo fazer para me aproximar desse objetivo? Eu já estou aí? Orientação é necessária, muito obrigado!

home-directory windows-server-2003 file-permissions roaming-profile

por Mr. Starburst 22.01.2014 / 21:49

1 resposta

Tags home-directory windows-server-2003 file-permissions roaming-profile

Por que o servidor escreve muito mais do que ler o disco GPO com atualizações automáticas desabilitadas somente a partir do WSUS

score 2 · Accepted Answer

Toda vez que você bloquear a herança, estará se livrando da flexibilidade futura. Evito bloquear a herança a todo custo. Você está certo em se preocupar com isso.

Sempre achei que as recomendações da Microsoft estavam erradas em relação a esse recurso. Eles não parecem de forma alguma representativos dos cenários de implantação do mundo real. Eu vejo, no mínimo, um possível ataque de negação de serviço, dando aos usuários permissão "Criar subpasta" no topo de uma hierarquia de pastas tão importante. Acredito que as pastas de perfil do usuário (e outras pastas por usuário) precisam ser pré-criadas como parte do provisionamento de contas.

Meu procedimento operacional padrão para o perfil do usuário (e outras pastas por usuário) é o seguinte:

Você precisa que os usuários possam listar o conteúdo da pasta de nível superior, portanto, eu uso a seguinte permissão:

SISTEMA - Controle total - Aplicado a esta pasta, subpastas e arquivos
BUILTIN \ Administradores - Controle total - Aplicado a esta pasta, subpastas e arquivos
BUILTIN \ Usuários autenticados (ou um grupo mais restritivo, se disponível) - Ler e executar - Aplicado somente a esta pasta

Tome nota: A última permissão deve ser não para herdar as subpastas (ou seja, aplicada a "Esta pasta apenas"). Essa permissão permite aos clientes enumerar o conteúdo da pasta de nível superior, mas, por não herdar subpastas ou arquivos, não concede acesso às subpastas.

Em cada subpasta, a herança permanece ativada. Acabei de adicionar o usuário com direitos de "Controle total" nessa subpasta.

Você também pode fazer isso via script:

set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "x:\Windows_Home\%userDir%" /r /d y
ICACLS "x:\Windows_Home\%userDir%" /reset /T
ICACLS "x:\Windows_Home\%userDir%" /grant:r "DOMAIN\%userDir%":(OI)(CI)F
ICACLS "x:\Windows_Home\%userDir%" /setowner "DOMAIN\%userDir%" /T

Você precisará da configuração de Diretiva de Grupo "Não verificar a propriedade do usuário de Pastas de Perfil Móvel" ativada para evitar que os computadores clientes se queixem de que a pasta do perfil não seja "de propriedade" do usuário. Eu configurei esse domínio como parte do meu procedimento operacional padrão também.