Gewusst wie: Dynamisches Erstellen von sicherheitsoptimierten umgeleiteten Ordnern oder Stammordnern

In diesem Artikel wird beschrieben, wie Sie mit Sicherheit erweiterte umgeleitete Ordner oder Basisordner dynamisch erstellen.

Original Version des Produkts:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   274443

Zusammenfassung

In Microsoft Windows Server Active Directory können Sie als Administrator Desktops anpassen, indem Sie die Ordnerumleitung verwenden oder einen Server basierten Basisordner zuweisen. Darüber hinaus können Sie die folgenden Ordner mithilfe von Active Directory und Gruppenrichtlinien umleiten:

  • Anwendungsdaten
  • Desktop
  • Eigene Dokumente
  • Eigene Dokumente/eigene Bilder
  • Startmenü

Weitere Informationen zur Ordnerumleitung finden Sie, indem Sie in der Windows-Hilfe nach Ordnerumleitungen suchen.

Wenn Sie Ordner an einen freigegebenen Speicherort in einem Netzwerk umleiten, benötigen Sie Lese-und Schreibzugriff auf diesen Speicherort, damit Sie den Inhalt dieser Ordner lesen können. In einigen Szenarien möchten Sie jedoch möglicherweise anderen Benutzern keinen Lesezugriff gewähren.

Erstellen von sicherheitsoptimierten umgeleiteten Ordnern

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass nur der Benutzer und die Domänenadministratoren über Berechtigungen zum Öffnen eines bestimmten umgeleiteten Ordners verfügen:

  1. Wählen Sie einen zentralen Ort in Ihrer Umgebung aus, an dem Sie die Ordnerumleitung speichern möchten, und geben Sie diesen Ordner dann frei. In diesem Beispiel werden FLDREDIR und homedir verwendet.

  2. Legen Sie Freigabeberechtigungen für die Gruppe Jeder auf Vollzugrifffest.

  3. Verwenden Sie die folgenden Einstellungen für NTFS-Berechtigungen:

    • Ersteller-Besitzer-Vollzugriff (nur auf: Unterordner und Dateien anwenden)
    • System-Vollzugriff (anwenden auf: diesen Ordner, Unterordner und Dateien)
    • Domänen-Admins-Vollzugriff (anwenden auf: diesen Ordner, Unterordner und Dateien)
    • Jeder-Ordner erstellen/Daten anfügen (gilt für: nur diesen Ordner)
    • Jeder-Ordner auflisten/Daten lesen (nur auf: diesen Ordner anwenden)
    • Everyone – Attribute lesen (gilt nur für: diesen Ordner)
    • Jeder-Ordner durchlaufen/Datei ausführen (gilt nur für: diesen Ordner)
  4. Konfigurieren Sie die Ordnerumleitungsrichtlinie wie in der Windows-Hilfe beschrieben. Verwenden Sie einen ähnlichen Pfad wie \\server\FLDREDIR\%username% zum Erstellen eines Ordners unter dem freigegebenen Ordner FLDREDIR.

    Sie können auch einen Basisordner "homedir" auf ähnliche Weise konfigurieren, indem Sie einen Vorlagenbenutzer mit einem Home-Ordner wie kopieren \\server\HOMEDIR\%username% oder den Benutzer und Ordner mit diesem Namen erstellen.

    Hinweis

    Für private Ordner ist das Szenario nicht üblich, da beim Hinzufügen des Basisordners für einen Benutzer Active Directory Benutzer und Computer den Ordner erstellen. Wenn Sie jedoch eine benutzerdefinierte Einrichtung verwenden, erstellt Active Directory Benutzer und Computer den Ordner nicht. Daher müssen Sie dies selbst tun.

Warum diese Berechtigungen zur Verbesserung der Sicherheit von freigegebenen Ordnern beitragen

Da die Gruppe Jeder über das Recht Ordner erstellen/anfügen Daten verfügt, verfügen die Gruppenmitglieder über die erforderlichen Berechtigungen zum Erstellen des Ordners. die Mitglieder können die Daten jedoch nicht später lesen. Die Gruppe Benutzername ist der Name des Benutzers, der angemeldet war, als Sie den Ordner erstellt haben. Da der Ordner ein untergeordnetes Element des übergeordneten Ordners ist, erbt er die Berechtigungen, die Sie FLDREDIR zugewiesen haben. Da der Benutzer den Ordner erstellt, erhält der Benutzer aufgrund der Berechtigungseinstellung der Ersteller-Besitzer auch Vollzugriff auf den Ordner.

Weitere Informationen

Der Artikel wurde ursprünglich für Windows Server 2003 geschrieben, und der Zugriffssteuerungseintrag (Access Control Entry, ACE) für Ersteller wurde wahrscheinlich in Folgendes konvertiert:
<Folder-User> -Vollzugriff (anwenden auf: diesen Ordner, Unterordner und Dateien)

Aber es gibt keinen Beweis dafür, dass dies geschehen ist. In den früheren Versionen des Artikels wird das Ergebnis der Zugriffssteuerungsliste (Access Control List, ACL) nicht erwähnt, und die Versionen der Betriebssysteme, für die dieser Artikel geschrieben wurde, werden nicht mehr unterstützt.

Ende Mai 2017 haben alle unterstützten Betriebssysteme den ACE in Folgendes konvertiert:
<Folder-User> -Vollzugriff (nur auf: dieses Objekt anwenden)

Dies wirkt sich jedoch nicht auf die täglichen Vorgänge der Ordner für die Benutzer aus, sondern macht einen Unterschied, wenn der Administrator an den Inhalten der Stammordner oder umgeleiteten Ordner arbeiten muss.

Wenn Sie sicherstellen möchten, dass der Benutzer den vererbbaren Vollzugriff auf alle untergeordneten Objekte erhält, müssen Sie Folgendes tun:

  1. Erstellen Sie den Ordnerabgleich für die Benutzer sAMAccountName selbst.

  2. Legen Sie die Berechtigungen fest, die für den Ordner benötigt werden, und überprüfen Sie, ob Sie über die ACEs verfügen, und stellen Sie sicher, dass Sie über den ACE verfügen:

    <Folder-User> -Vollzugriff (anwenden auf: diesen Ordner, Unterordner und Dateien)

Informationsquellen

Weitere Informationen finden Sie unter Folder Redirector Overview.