Procédure de création dynamique de dossiers d’accueil ou de dossiers redirigés améliorés par la sécurité

Cet article explique comment créer dynamiquement des dossiers de base ou des dossiers redirigés améliorés par la sécurité.

Version du produit d’origine :   Windows Server 2012 R2
Numéro de la base de connaissances initiale :   274443

Résumé

Dans Microsoft Windows Server Active Directory, en tant qu’administrateur, vous pouvez personnaliser les bureaux à l’aide de la redirection de dossiers ou affecter un dossier de base basé sur un serveur. En outre, vous pouvez rediriger les dossiers suivants à l’aide d’Active Directory et de la stratégie de groupe :

  • Données d’application
  • Desktop
  • Mes documents
  • Mes documents/Mes images
  • Menu Démarrer

Pour plus d’informations sur la redirection de dossiers, consultez l’aide de Windows relative à la redirection de dossiers.

Lorsque vous redirigez des dossiers vers un emplacement partagé sur un réseau, vous avez besoin d’un accès en lecture et en écriture à cet emplacement afin de pouvoir lire le contenu de ces dossiers. Toutefois, dans certains cas, il se peut que vous ne souhaitiez pas accorder un accès en lecture à d’autres utilisateurs.

Créer des dossiers redirigés à sécurité améliorée

Pour vous assurer que seuls les administrateurs d’utilisateur et de domaine sont autorisés à ouvrir un dossier redirigé particulier, procédez comme suit :

  1. Sélectionnez un emplacement central dans votre environnement dans lequel vous souhaitez stocker la redirection de dossiers, puis partagez ce dossier. Dans cet exemple, FLDREDIR et HOMEDIR sont utilisés.

  2. Définissez des autorisations de partage pour le groupe tout le monde sur contrôle total.

  3. Utilisez les paramètres suivants pour les autorisations NTFS :

    • CREATOR OWNER-Full Control (s’applique à : les sous-dossiers et les fichiers uniquement)
    • Système-contrôle total (s’appliquer à : ce dossier, les sous-dossiers et les fichiers)
    • Administrateurs de domaine-contrôle total (s’appliquer à : ce dossier, les sous-dossiers et les fichiers)
    • Tout le monde-créer des données de dossier/ajouter (appliquer à : ce dossier uniquement)
    • Tout le monde-répertorier le dossier/lire les données (appliquer à : ce dossier uniquement)
    • Tout le monde-attributs de lecture (appliquer à : ce dossier uniquement)
    • Tout le monde-parcourir le dossier/exécuter le fichier (appliquer à : ce dossier uniquement)
  4. Configurez la stratégie de redirection de dossiers comme décrit dans l’aide Windows. Utilisez un chemin d’accès semblable à \\server\FLDREDIR\%username% pour créer un dossier sous le dossier partagé FLDREDIR.

    Vous pouvez également configurer un dossier de base « HOMEDIR » d’une manière similaire en copiant un utilisateur de modèle avec un dossier de base \\server\HOMEDIR\%username% , ou créer l’utilisateur et le dossier avec ce nom.

    Notes

    Pour les dossiers de base, le scénario n’est pas courant car lorsque vous ajoutez le dossier de base d’un utilisateur, les utilisateurs et ordinateurs Active Directory le créeront. Toutefois, si vous utilisez une mise en service personnalisée, les utilisateurs et les ordinateurs Active Directory ne créent pas le dossier. Par conséquent, vous devez le faire par vous-même.

Pourquoi ces autorisations permettent-elles d’améliorer la sécurité des dossiers de partage ?

Étant donné que le groupe tout le monde dispose du droit créer un dossier/ajouter des données, les membres du groupe disposent des autorisations appropriées pour créer le dossier ; Toutefois, les membres ne peuvent pas lire les données par la suite. Le groupe nom d’utilisateur est le nom de l’utilisateur qui était connecté lors de la création du dossier. Étant donné que le dossier est un enfant du dossier parent, il hérite des autorisations que vous avez affectées à FLDREDIR. En outre, étant donné que l’utilisateur crée le dossier, il obtient le contrôle total du dossier en raison du paramètre d' autorisation Créateur propriétaire .

Informations supplémentaires

L’article a été initialement rédigé pour Windows Server 2003 et l’entrée de contrôle d’accès (ACE) pour CreatorOwner a probablement été convertie en :
<Folder-User> -Contrôle total (s’appliquer à : ce dossier, les sous-dossiers et les fichiers)

Mais il n’y a aucune preuve que cela s’est produit. Les versions antérieures de l’article ne mentionnent pas le résultat de la liste de contrôle d’accès (ACL), et les versions des systèmes d’exploitation que cet article a été écrites ne sont plus prises en charge.

À la fin du 2017 mai, tous les systèmes d’exploitation pris en charge convertissent l’ACE en :
<Folder-User> -Contrôle total (appliquer à : cet objet uniquement)

Toutefois, cela n’affecte pas les opérations quotidiennes des dossiers pour les utilisateurs, mais il fait une différence lorsque l’administrateur doit travailler sur le contenu des dossiers d’accueil ou des dossiers redirigés.

Si vous souhaitez vous assurer que l’utilisateur obtient le contrôle total héritable sur tous les objets enfants, vous devez :

  1. Créez la correspondance de dossier pour les utilisateurs sAMAccountName par vous-même.

  2. Définissez les autorisations nécessaires pour le dossier, omettez les ACE tout le monde et assurez-vous que vous disposez de l’ACE :

    <Folder-User> -Contrôle total (s’appliquer à : ce dossier, les sous-dossiers et les fichiers)

Références

Pour plus d’informations, consultez la rubrique Présentation de la redirection de dossiers.