none
Нет доступа к папкам RRS feed

  • Вопрос

  • Есть папка с подпапками для учеток. В GPO настроено редирект на эти подпапок. Все это выглядит как \\server\accounts\%USERNAME%. Выставлены следующие права. Главная папка account расшарена, доступ полный и у админа и у группы. Далее для подпапок (не шары): админ - полный доступ, группа - полный доступ, конкретный %USERNAME% - тоже самое. 

    После первого logon'а в систему появились соотв. папки: Application Data, My Documents и так далее. И к этим папкам, несмотря на наследование параметров безопасности нет доступа у админа, у группы, только у данного %USERNAME%. Как исправить, чтобы у админа был полный доступ?

    Все это сотворено на 2003r2 

    13 февраля 2011 г. 11:32

Ответы

  • Для этого можно попробовать использовать групповую политику "Конфигурация компьютера"->"Административные шаблоны"-> "Система"->"Профили пользователей"->"Добавлять группу администраторов для перемещаемых профилей пользователей".

    Добавляет группу безопасности "Администраторы" к общему ресурсу перемещаемого профиля пользователя. 

    После того, как администратор настроил перемещаемый профиль пользователя, этот профиль будет создан при следующем входе пользователя в систему. Профиль создается в указанном администратором месте. 

    Для операционных систем Windows 2000 Professional и Windows XP Professional, принятые по умолчанию разрешения для генерируемого профиля предоставляют полный доступ, или доступ на чтение и запись, для пользователя, и не предоставляют доступ к файлам для группы администраторов. 

    С помощью этой политики вы можете изменить это поведение. 

    Если эта политика включена, группа администраторов также получает полный доступ к папке профиля пользователя.

    Если эта политика отключена или не задана, только пользователь получает полный доступ к своему профилю, а группа администраторов не имеет доступа к файлам.

    Примечание: если политика включена после создания профиля, она не влияет на ранее созданный профиль. 

    Примечание: политика должна быть задана на пользовательском компьютере, а не на сервере, поскольку именно компьютер пользователя задает разрешения доступа к общему ресурсу для перемещаемого профиля во время его создания.

    Примечание: по умолчанию, администраторы не имеют доступа к файлам в профиле пользователя, но все-таки могут стать владельцами этой папки, а затем выдать себе разрешение на доступ к файлам.

    Примечание: если эта политика включена, поведение в точности такое же, как в Windows NT 4.0. 

     

    P.S: Как я понимаю из описания, данная политика будет действовать только на вновь создаваемые профили пользователей. Для уже существующих права доступа нужно будет перераздать вручную.

    13 февраля 2011 г. 17:27

Все ответы

  • А для каких целей нужен непосредственный доступ в эти папки? Создание резервных копий осуществляется через Backup API, доступ через который у всех администраторов есть по-умолчанию.

    13 февраля 2011 г. 12:18
  • Контроль за содержимым, чистка папок от мусора и подобное.

     

    А еще это же кривая настройка, если "галочки стоят", а доступа нет

    13 февраля 2011 г. 13:27
  • а также если пользователя больше нет, а папка не нужная - ее нужно удалить. А соответственно удалить не получается.

     

    Попробовал отключить GPO для данного OU - ничего не изменилось

    13 февраля 2011 г. 13:29
  • Для этого можно попробовать использовать групповую политику "Конфигурация компьютера"->"Административные шаблоны"-> "Система"->"Профили пользователей"->"Добавлять группу администраторов для перемещаемых профилей пользователей".

    Добавляет группу безопасности "Администраторы" к общему ресурсу перемещаемого профиля пользователя. 

    После того, как администратор настроил перемещаемый профиль пользователя, этот профиль будет создан при следующем входе пользователя в систему. Профиль создается в указанном администратором месте. 

    Для операционных систем Windows 2000 Professional и Windows XP Professional, принятые по умолчанию разрешения для генерируемого профиля предоставляют полный доступ, или доступ на чтение и запись, для пользователя, и не предоставляют доступ к файлам для группы администраторов. 

    С помощью этой политики вы можете изменить это поведение. 

    Если эта политика включена, группа администраторов также получает полный доступ к папке профиля пользователя.

    Если эта политика отключена или не задана, только пользователь получает полный доступ к своему профилю, а группа администраторов не имеет доступа к файлам.

    Примечание: если политика включена после создания профиля, она не влияет на ранее созданный профиль. 

    Примечание: политика должна быть задана на пользовательском компьютере, а не на сервере, поскольку именно компьютер пользователя задает разрешения доступа к общему ресурсу для перемещаемого профиля во время его создания.

    Примечание: по умолчанию, администраторы не имеют доступа к файлам в профиле пользователя, но все-таки могут стать владельцами этой папки, а затем выдать себе разрешение на доступ к файлам.

    Примечание: если эта политика включена, поведение в точности такое же, как в Windows NT 4.0. 

     

    P.S: Как я понимаю из описания, данная политика будет действовать только на вновь создаваемые профили пользователей. Для уже существующих права доступа нужно будет перераздать вручную.

    13 февраля 2011 г. 17:27