如何动态创建安全增强的重定向文件夹或主文件夹

本文介绍如何动态创建安全增强的重定向文件夹或主文件夹。

原始产品版本:   Windows Server 2012 R2
原始 KB 数:   274443

摘要

在 Microsoft Windows Server Active Directory 中,作为管理员,您可以使用文件夹重定向或分配基于服务器的主文件夹来自定义桌面。 此外,还可以使用 Active Directory 和组策略重定向以下文件夹:

  • 应用程序数据
  • 桌面
  • 我的文档
  • 我的文档/我的图片
  • 开始菜单

若要了解有关文件夹重定向的详细信息,请在 Windows 帮助中搜索文件夹重定向。

将文件夹重定向到网络上的共享位置时,需要对此位置具有读写访问权限,以便您可以读取这些文件夹的内容。 但是,在某些情况下,您可能不希望向其他用户授予读取权限。

创建安全性增强的重定向文件夹

若要确保只有用户和域管理员具有打开特定重定向文件夹的权限,请执行以下步骤:

  1. 选择您的环境中您要存储文件夹重定向的中心位置,然后共享此文件夹。 在此示例中,使用了 FLDREDIR 和 HOMEDIR。

  2. 将 "Everyone" 组的 " 共享" 权限 设置为 " 完全控制"。

  3. 对 NTFS 权限使用以下设置:

    • 创建者所有者-完全控制 (应用到:子文件夹和文件)
    • 系统-完全控制 (应用到:此文件夹、子文件夹和文件)
    • 域管理员-完全控制 (应用到:此文件夹、子文件夹和文件)
    • Everyone-创建文件夹/追加数据 (应用到:仅限此文件夹)
    • Everyone-列出文件夹/读取数据 (应用到:仅限此文件夹)
    • Everyone-读取属性 (应用到:仅限此文件夹)
    • 每个人-遍历文件夹/执行文件 (应用到:仅限此文件夹)
  4. 按照 Windows 帮助中所述配置文件夹重定向策略。 使用类似于的路径 \\server\FLDREDIR\%username% 在 "共享文件夹" 下创建一个文件夹,FLDREDIR。

    您还可以按类似方式配置主文件夹 "HOMEDIR",方法是复制一个具有类似主文件夹的模板用户 \\server\HOMEDIR\%username% ,或使用该名称创建用户和文件夹。

    备注

    对于主文件夹,方案并不常见,因为在为用户添加主文件夹时,Active Directory 用户和计算机将创建该文件夹。 但是,如果您使用自定义设置,则 Active Directory 用户和计算机不会创建该文件夹。 因此,您必须自己执行此操作。

为什么这些权限有助于提高共享文件夹的安全性

由于 Everyone 组具有 "创建文件夹/追加数据" 权限,因此组成员具有创建文件夹的适当权限;但是,这些成员无法在以后读取数据。 "用户名" 组是创建文件夹时登录的用户的名称。 由于该文件夹是父文件夹的子文件夹,因此它将继承您分配给 FLDREDIR 的权限。 此外,由于用户正在创建文件夹,因此,由于 创建者所有者权限 设置,用户将获得对文件夹的完全控制权限。

更多信息

本文最初是为 Windows Server 2003 编写的,并且 CreatorOwner 的访问控制条目 (ACE) 可能转换为:
*<Folder-User> -完全控制 (应用到:此文件夹、子文件夹和文件) *

但并不证明已发生了此问题。 本文的早期版本不会提及访问控制列表 (ACL) 的结果,并且不支持为本文编写的操作系统版本提供更长的支持。

在5月2017日结束后,所有受支持的操作系统将 ACE 转换为:
*<Folder-User> - (应用 "完全控制":仅此对象) *

但这并不影响用户的每日操作,因此管理员必须对主文件夹或重定向文件夹的内容进行处理。

如果要确保用户能够获取对所有子对象的可继承完全控制,您必须执行以下操作:

  1. 创建您自己的用户 samaccountname 的文件夹匹配。

  2. 设置文件夹所需的权限,省略上面的 Everyone Ace,并确保您具有 ACE:

    *<Folder-User> -完全控制 (应用到:此文件夹、子文件夹和文件) *

参考

有关详细信息,请参阅 文件夹重定向概述