Создание перенаправленных папок с повышенным уровнем безопасности

Задача: в перенаправляемые папки пользоваетелей дать доступ администраторам домена. Задача не так проста как кажется на первый взгляд…

Чтобы предоставить право открывать перенаправленную папку только пользователю и администраторам домена, выполните следующие действия.

1. Выберите папку для хранения перенаправленных папок и откройте к ней общий доступ.В данном примере используется папка FLDREDIR.

2. Разрешения для общего ресурса группы «Все» установите равными Полный доступ.

3. Установите следующие разрешения NTFS.

  • Создатель-владелец: полный доступ (применять: только для подпапок и файлов)

CREATOR OWNER — Full Control (Apply onto: Subfolders and Files Only)

  • Система: полный доступ (применять: данная папка, подпапки и файлы)

System — Full Control (Apply onto: This Folder, Subfolders and Files)

  • Администраторы домена: полный доступ (применять: данная папка, подпапки и файлы)

Domain Admins — Full Control (Apply onto: This Folder, Subfolders and Files)

  • Все: создание папок/дозапись данных (применять: только для этой папки)

Everyone — Create Folder/Append Data (Apply onto: This Folder Only)

  • Все: содержание папки/чтение данных (применять: только для этой папки)

Everyone — List Folder/Read Data (Apply onto: This Folder Only)

  • Все: чтение атрибутов (применять: только для этой папки)

Everyone — Read Attributes (Apply onto: This Folder Only)

  • Все: обзор папок/выполнение файлов (применять: только для этой папки)

Everyone — Traverse Folder/Execute File (Apply onto: This Folder Only)

4. Настройте политику перенаправления папок в соответствии с инструкциями из справочной системы Windows.

Для создания вложенной папки в общей папке FLDREDIR используется путь в следующем формате

\\сервер\FLDREDIR\имя_пользователя.

Поскольку группе «Все» предоставлено разрешение «Создание папок/Дозапись данных», ее члены могут создавать папки, однако не имеют доступа к данным в этих папках.

Имя_пользователя – это имя пользователя, который зарегистрировался в системе на момент создания папки. Созданная папка является дочерней по отношению к FLDREDIR и, следовательно, наследует назначенные ей разрешения.

Кроме того, создавший папку пользователь получает к ней право полного доступа (см. разрешения для «Создатель-владелец»).

источник

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *