Я играю с Server 2016 в виртуальной машине и создал на сервере очень простую систему общего доступа к файлам (которая также является сервером AD, DHCP и DNS, и я знаю, что это не лучшая практика, но она подойдет для целей чистого тестирования))

Мой вопрос заключается в том, что созданный мною общий ресурс предназначен для эмуляции домашних дисков конечного пользователя, и я пытаюсь получить доступ каждого пользователя к записи только в свою папку на диске. Я не хочу добавлять разрешения вручную для каждого пользователя

Я уже установил разрешения для общего ресурса, чтобы "Все" имели полный контроль, но не уверен, как настроить разрешения NTFS.

1 ответ1

1

Самый удобный способ настроить домашние диски пользователей - использовать для этого встроенную функцию Active Directory. На вкладке "Профиль" окна "Свойства" в пользовательском объекте AD есть раздел "Домашняя папка". Выберите "Подключиться" и введите путь под общим ресурсом, который вы уже создали (например, \\server\homes\jsmith). Если путь еще не существует, он будет создан для вас с настроенной безопасностью NTFS, чтобы у человека, которого вы изменяете, был полный доступ. Обратите внимание, что вновь созданная папка и ее параметры безопасности остаются, даже если вы измените домашнюю страницу пользователя на пустую.

Если вы не хотите использовать встроенную функцию, все становится менее удобным. Однако есть один способ снять часть работы. Вы можете установить ACFS NTFS для вашей общей папки таким образом, чтобы когда пользователь создает папку, он один получает полный доступ к ней и ее потомкам. В окне «Дополнительные параметры безопасности» (нажмите «Дополнительно» на вкладке «Безопасность» свойств папки), сначала отключите наследование и не копируйте унаследованные записи. Затем добавьте эти разрешения:

  • Разрешить SYSTEM полный контроль над «этой папкой, подпапками и файлами»
  • Аналогично для администраторов
  • Разрешить пользователям "читать и выполнять", "просматривать содержимое папки" и "читать" в «этой папке, подпапках и файлах»
  • Разрешить CREATOR OWNER полный контроль над "только вложенными папками и файлами"
  • Разрешить пользователям «создавать папки / добавлять данные» в "только эту папку" (для этого нужно нажать "показать дополнительные разрешения")

Если вы не хотите, чтобы пользователи могли читать материалы друг друга, вы можете использовать "только эту папку" в третьей записи. Последние два пункта - это место, где происходит волшебство. CREATOR OWNER - это заполнитель, который преобразуется при создании файла в пользователя-создателя. Тем не менее, он остается, когда создаются подпапки. Разрешение всем пользователям создавать папки в корневом каталоге дает им достаточно мощности, чтобы использовать принцип CREATOR OWNER для создания своего собственного пространства.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .