Dynamisches Erstellen von sicherheitsoptimierten umgeleiteten Ordnern oder Basisordnern
In diesem Artikel wird beschrieben, wie Sie umgeleitete Ordner oder Basisordner dynamisch mit erweiterter Sicherheit erstellen.
Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 274443
Zusammenfassung
In Microsoft Windows Server Active Directory können Sie als Administrator Desktops mithilfe der Ordnerumleitung anpassen oder einen serverbasierten Basisordner zuweisen. Darüber hinaus können Sie die folgenden Ordner mithilfe von Active Directory und Gruppenrichtlinie umleiten:
- Anwendungsdaten
- Desktop
- Eigene Dokumente
- Eigene Dokumente/Eigene Bilder
- Startmenü
Weitere Informationen zur Ordnerumleitung finden Sie in der Windows-Hilfe zur Ordnerumleitung.
Wenn Sie Ordner an einen freigegebenen Speicherort in einem Netzwerk umleiten, benötigen Sie Lese- und Schreibzugriff auf diesen Speicherort, damit Sie den Inhalt dieser Ordner lesen können. In einigen Szenarien möchten Sie anderen Benutzern jedoch möglicherweise keinen Lesezugriff gewähren.
Erstellen von umgeleiteten Ordnern mit verbesserter Sicherheit
Führen Sie die folgenden Schritte aus, um sicherzustellen, dass nur der Benutzer und die Domänenadministratoren über Berechtigungen zum Öffnen eines bestimmten umgeleiteten Ordners verfügen:
Wählen Sie einen zentralen Speicherort in Ihrer Umgebung aus, an dem Sie die Ordnerumleitung speichern möchten, und geben Sie diesen Ordner dann frei. In diesem Beispiel werden FLDREDIR und HOMEDIR verwendet.
Legen Sie Freigabeberechtigungen für die Gruppe Jeder auf Vollzugriff fest.
Verwenden Sie die folgenden Einstellungen für NTFS-Berechtigungen:
- CREATOR OWNER – Vollzugriff (gilt nur für: Unterordner und Dateien)
- System – Vollzugriff (Anwenden auf: Dieser Ordner, Unterordner und Dateien)
- Domänenadministratoren – Vollzugriff (gilt für: Dieser Ordner, Unterordner und Dateien)
- Jeder – Ordner erstellen/Daten anfügen (Gilt für: Nur diesen Ordner)
- Jeder – Ordner auflisten/Daten lesen (Gilt für: Nur diesen Ordner)
- Jeder – Attribute lesen (Gilt für: Nur diesen Ordner)
- Jeder – Ordner durchlaufen/Datei ausführen (Gilt für: Nur diesen Ordner)
Konfigurieren Sie die Ordnerumleitungsrichtlinie wie in der Windows-Hilfe beschrieben. Verwenden Sie einen Pfad ähnlich dem
\\server\FLDREDIR\%username%, um einen Ordner unter dem freigegebenen Ordner FLDREDIR zu erstellen.Sie können auch einen Basisordner "HOMEDIR" auf ähnliche Weise konfigurieren, indem Sie einen Vorlagenbenutzer mit einem Basisordner wie
\\server\HOMEDIR\%username%kopieren oder den Benutzer und den Ordner mit diesem Namen erstellen.Hinweis
Bei Basisordnern ist das Szenario nicht üblich, da beim Hinzufügen des Basisordners für einen Benutzer Active Directory-Benutzer und -Computer den Ordner erstellt. Wenn Sie jedoch eine benutzerdefinierte Bereitstellung verwenden, erstellt Active Directory-Benutzer und -Computer den Ordner nicht. Daher müssen Sie es selbst tun.
Warum diese Berechtigungen zur Verbesserung der Sicherheit der Freigabeordner beitragen
Da die Gruppe Jeder über die Berechtigung Ordner erstellen/Daten anfügen verfügt, verfügen die Gruppenmitglieder über die erforderlichen Berechtigungen zum Erstellen des Ordners. Die Mitglieder können die Daten später jedoch nicht mehr lesen. Die Gruppe Benutzername ist der Name des Benutzers, der beim Erstellen des Ordners angemeldet war. Da der Ordner ein untergeordnetes Element des übergeordneten Ordners ist, erbt er die Berechtigungen, die Sie FLDREDIR zugewiesen haben. Da der Benutzer den Ordner erstellt, erhält der Benutzer aufgrund der Einstellung "Creator Owner Permission" die vollständige Kontrolle über den Ordner.
Weitere Informationen
Der Artikel wurde ursprünglich für Windows Server 2003 geschrieben, und der Zugriffssteuerungseintrag (Access Control Entry, ACE) für CreatorOwner wurde wahrscheinlich in Folgendes konvertiert:
<Folder-User> – Vollzugriff (Anwenden auf: Dieser Ordner, Unterordner und Dateien)
Aber es gibt keinen Beweis dafür, dass dies geschehen ist. Die früheren Versionen des Artikels Erwähnung das Ergebnis der Zugriffssteuerungsliste (Access Control List, ACL) nicht mehr, und die Versionen der Betriebssysteme, für die dieser Artikel geschrieben wurde, werden nicht mehr unterstützt.
Bis Ende Mai 2017 wurden die ACE von allen unterstützten Betriebssystemen in folgendes umgewandelt:
<Folder-User> – Vollzugriff (Gilt für: Nur dieses Objekt)
Dies wirkt sich jedoch nicht auf die täglichen Vorgänge der Ordner für die Benutzer aus. Es macht einen Unterschied, wenn der Administrator an den Inhalten der Basisordner oder umgeleiteten Ordner arbeiten muss.
Wenn Sie sicherstellen möchten, dass der Benutzer den vererbbaren Vollzugriff auf alle untergeordneten Objekte erhält, müssen Sie folgendes ausführen:
Erstellen Sie den Ordner, der für den Benutzer samaccountname entspricht, selbst.
Legen Sie die Berechtigungen fest, die für den Ordner erforderlich sind, lassen Sie die oben genannten AcEs für Alle aus, und stellen Sie sicher, dass Sie über den ACE verfügen:
<Folder-User> – Vollzugriff (Anwenden auf: Dieser Ordner, Unterordner und Dateien)
References
Weitere Informationen finden Sie unter Übersicht über die Ordnerumleitung.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für