none
Oprávnění na uživatelské profily.

    Dotaz

  • Zdravím,

    Při zakládání uživatelských profilů se mi dědí i oprávnění nadřazené složky (PROFILY).  Jak je možné docílit, aby uživatele mohly mít přístup jenom do svého profilu, nikoliv do všech ostatních.

    Oprávnění je zapotřebí nastavit ručně? Nebo pomocí skriptu při zakládání uživatele do AD?

    Děkuji, Michal..

    12. srpna 2010 14:57

Odpovědi

Všechny reakce

  • Nastavenim prav na nadrazenou slozku. Jak jinak?

    MP

    12. srpna 2010 16:44
    Moderátor
  • Asi hloupá otázka jak správně definovat oprávnění??


    junior
    12. srpna 2010 17:03
  • Nejsou hloupe otazky :)

    SPRAVNE NASTAVENA OPRAVNENI = tak aby kazdy mel prava jaka potrebuje ale ani o chlup vic.

    Tzn. mas dejmetomu fyzicky adresar Users ( ve kterem mas podadresare Pepa, Marie, Jezis....) kteru je nasdileny a jsou v nem definovany uzivatelske HOMEs. Osobne bych do adresare Users dal NTFS prava (full control) pouze "uzivateli" SYSTEM a pokud to firemni politika umoznuje pak i skupine Domain Admins .

    Do kazdeho podadresare pak das prislusnemu uzivateli explicitni pravo full control (mozna ti bude stacit change) a probubla tam i inherited ACLz predchoziho odstavce.

    Na share pak dej pro Domain Admins full control (pokud ma smysl - viz vyse) a uzivatelum skrzeva napr. skupinu Domain Users bud Full control nebo Change (viz vyse).

    POZOR - nektere ficury jako napr. folder redirection standardne kontroluji vlastnictvi a potrebuji full control

    MP

    12. srpna 2010 18:21
    Moderátor
  • Pokud nastavím práva na složku Share

    NTFS      na Full Control SYSTÉM a Domain Admins

    Shrare    na Full Control SYSTÉM, Domain Admins a Domain Users

     

    Při zakládání uživatele bude zapotřebí i vytvořit home Pepa a Pepa.V2 a nastavit mu práva k přihlášení. S těmito právy není možné, aby se vytvořil účet sám při prvním logování.


    junior
    12. srpna 2010 21:24
  • Mohu nastavit u složky s profily Full Control jen pro SYSTEM, když se složka uživatele vytváří automaticky při prvním přihlášení a nenastavuji oprávnění ručně?

    Nyní mám pro celou složku nastaveno Full Control pro Everyone, pro NTFS i share.

    Uživatelský profil má pak oprávnění Full Control pro SYSTEM a daného uživatele.

    13. srpna 2010 7:25
  • Promin, spatne jsem si precetl otazku, myslel jsem ze ti jde o domaci adresare uzivatelu.

    Pro profily je to samozrejme mnohem snazsi: uzivatelum dej full control na NTFS i na share aby se po prvnim pri/odhlaseni mohl profil VYTVORIT a aby si na nej  uzivatel automaticky dal prava pouze pro sebe (a pro Domain Admins pokud povolis pres GOP)

    MP

    13. srpna 2010 7:37
    Moderátor
  • Nastavování práv pro uživatelské profily fakt nechápu.

    Pokud nastavím práva NTFS na Full C. Domain Adminis, Domain users a SYSTEM. Tak se tohle oprávnění dědí i na další složky.

    Na Share nastavím jenom Domains Users též full C. Profil se vytvoří bez problému, ale s oprávněním Full C. Domain Adminis, Domain users a SYSTÉM, ale nepřidají se práva uživatele..

    Jak povolit přes GPO Domain Admins...

    Pr. GPO nastaveni Plochy
     
    Grant user exclusive rights to Contacts                     Disabled ( Pokud nastavím hodnotu na Enabled tak nemůže admin procházet profil uživatele. GPO nastaveni Plochy )
    Move the contents of Contacts to the new location      Enabled
    Also apply redirection policy to Windows 2000, Windows 2000 server, Windows XP, and Windows Server 2003 operating systems    Disabled
    Policy Removal Behavior                                          Restore contents


    junior
    13. srpna 2010 18:02
  • S tim dedenim je to ve skutecnosti jinak:

    Novy profil se vytvari v kontextu uzivatele (proto Full pro Domain Users). Windows tedy:
    - vytvori profil (=adresar)
    - nastavi k nemu ACL POUZE pro aktualniho uzivatele a pokud povolis v GPO pak i pro Administrators

    MP

    14. srpna 2010 9:38
    Moderátor
  • Problém se mi již povedlo vyřešit. Bylo zapotřebí si pohrát s právy NTFS složky.

    Odkazy na řešení problému.

     


    junior
    17. srpna 2010 0:32