none
Oprávnění domovských složek

    Dotaz


  • WS2016 s doménou, potřebuji, aby když nastavím ve vlastnostech doménového uživatele Domovskou složku, aby se v daném umístění vytvořila, ale oprávnění do této složky bude mít pouze ten uživatel, pro kterého se vytvoří a Domains Admins.

    Má situace:

    Mám vytvořenou složky D:\Homes a je sdílená. Ve vlastnostech uživatele mám nastavenou domovskou složku H: na \\s1\homes\%username%.

    Složka D:\Users má oprávnění takto:
    Domain Users - Full (pouze pro tuto složku)
    Domain Admins - Full

    složka která se pak vytvoří ve složce D:\Users má práva takto:
    Domain Admins - Full
    %Uzivatel% - Full
    Administrators - Full - zde ale nevím, odkud se tato skupina Administrators bere...? Ručně pak musím zrušit dědičnost z nadř. složky Homes a skupinu Administrators odebrat.

    Můžete mi prosím poradit, odkud se ta skupina Administrators vzala ?

    Moc díky za pomoc.
    16. ledna 2017 17:59

Odpovědi

  • for /f "tokens=1-26 delims=;" %%a in (users.txt) do (
    dsadd user %%a -samid %%b -fn %%c -mi %%d -ln %%e -hmdir %%f -profile %%g -pwd %%h -upn %%i
    Rem Vytvoreni domaciho adresare
    mkdir %%f
    Rem Pridani prav uzivateli na prave vytvoreny adresar
    cacls /E /G %%b:c %%f
    Rem atd …
    )
    
    --
    
    users.txt:
    "cn=knovak,cn=users,dc=firma,dc=local";knovak;Karel;-;Novak;\\server\users\knovak;\\server\profiles\knovak;heslo123#;knovak@firma.local
    

    18. ledna 2017 22:06
    Moderátor

Všechny reakce

  • "Složka D:\Users má oprávnění takto:
     Domain Users - Full (pouze pro tuto složku)
     Domain Admins - Full" - to jsou NTFS permissions nebo share permissions?

    Chápu to správně, že lokální složka D:\Users se sdílí jako \\s1\homes? Práva skupiny Administrators se Ti podědila z nadřazené složky. Ostatně, vadí práva skupiny Administrators něčemu?


    BB

    17. ledna 2017 7:20
  • Zaklad je: pri vytvareni nove slozky, ktera bude de facto korenovou slozkou, ZAKAZAT dedeni a nastavit prava "od nuly". Tzn do teto slozkyna asi Domain Admins:Full, mozna SYSTEM:Full a dal NIC. Neni absolutni duvod, proc by do nejvyssi slozky meli mit domain users jakykoliv pristup !!! Ten maji dostat az na svou slozku - ta bude tedy mit zdedena prava Domain Admins a System a k tomu explicitni pro user.

    Na share samozrejme maximalni nutna, tedy full control pro domain admins i users

    BTW zda jsou prava zdedena ci explicitni poznas podle barvy (seda/cerna) v Exploreru

    MP


    17. ledna 2017 8:50
    Moderátor
  • Děkuji za reakci.

    Ano, to jsem zapomněl uvést, složka D:\Homes je sdílená a do ní vytváří Domovské složky. Ale jak píšete dále, tato složka má dědění práv z nadřazené složky vypnuté, takže vůbec nechápu, kde se ta skupina Administrators bere....

    Obecně mi skupina Administrators nevadí, ale občas potřebujeme dočasně někomu přidělit Domains Admins, a pak by se do těch ostatních Domovských složek mohl dostat, což nechceme...
    17. ledna 2017 17:33
  • Tak jak to popisujete, tak takto postupuji odjakživa, mám to pak celé pod kontrolou, kromě tohoto případu.Jen pro úplnost jsem založil novou složku D:\Test, kterou sdílím, dědičnost vypnuta, a nastavena práva, co potřebuji, mj. dle vaší rady. Do této složky jsem nasměroval Domovskou složku jednoho uživatele, takže se jeho složka vytvořila, a v ní opět skupina Administrators. Také jsem v rámci zkoumání změnil i vlastníka složky D:\Test na svůj účet a výsledek stejný....

    Nebudu ze sebe dělat experta, ale toto ovládám velmi dobře, kouknul jsem na stejnou situaci u pár klientů na serverech, mám to tam nastavené úplně stejně, ale tam mi to tu skupinu Administrators nepřihazuje. Jedinný rozdíl je, všude jinde mám WS2012 R2.

    17. ledna 2017 17:39
  • "Obecně mi skupina Administrators nevadí, ale občas potřebujeme dočasně někomu přidělit Domains Admins, a pak by se do těch ostatních Domovských složek mohl dostat, což nechceme..." - já nerozumím tomuto. Píšeš, že tam nechceš práva pro skupinu Administrators, protože potřebuješ občas někoho přidat do skupiny Domain admins. Ale pokud jsem pochopil Tvůj první příspěvek správně, právě skupinu Domain admins tam mít chceš . . .

    BB

    17. ledna 2017 17:53
  • Aha. Ty zadavas ZATIM NEEXISTUJICI HOME slozku v dsa.msc - takze se vyvori vcetne nastaveni prav. Ja to delam naopak - vytvorim adresare, nastavim prava a pak je zadam.

    MP

    17. ledna 2017 18:05
    Moderátor
  • Ano, přesne tak. Váš postup je samozřejmě řešení, které také funguje, ale jak to prosím děláte, když takto potřebujete založit třeba 100+ složek ? Snad ne každou po jednom ? Powershell ???

    Díky

    18. ledna 2017 19:50
  • for /f "tokens=1-26 delims=;" %%a in (users.txt) do (
    dsadd user %%a -samid %%b -fn %%c -mi %%d -ln %%e -hmdir %%f -profile %%g -pwd %%h -upn %%i
    Rem Vytvoreni domaciho adresare
    mkdir %%f
    Rem Pridani prav uzivateli na prave vytvoreny adresar
    cacls /E /G %%b:c %%f
    Rem atd …
    )
    
    --
    
    users.txt:
    "cn=knovak,cn=users,dc=firma,dc=local";knovak;Karel;-;Novak;\\server\users\knovak;\\server\profiles\knovak;heslo123#;knovak@firma.local
    

    18. ledna 2017 22:06
    Moderátor
  • Díky za tip, toto bych se ani nesnažil vymýšlet, v Powershellu je to pro mě jednodušší :-) V každým případě platí, nejrpve mít vytvořené složky a pak tam teprve směrovat Domovské složky..

    Díky za rady

    25. ledna 2017 11:36