Настройка перенаправленных папок с повышенным уровнем безопасности

Windows / MS Администрирование
1

Предоставляем право открывать перенаправленную папку только пользователю и администраторам домена.

Необходимо предоставить общий доступ к папке в которой будут располагаться профайлы пользователей.

UserProfiles.

Разрешения для общего ресурса:

  • группы «Все» - Полный доступ.

Разрешения NTFS:
Создатель-владелец: полный доступ (применять: только для подпапок и файлов)
Система: полный доступ (применять: данная папка, подпапки и файлы)
Администраторы домена: полный доступ (применять: данная папка, подпапки и файлы)
Все: создание папок/дозапись данных (применять: только для этой папки)
Все: содержание папки/чтение данных (применять: только для этой папки)
Все: чтение атрибутов (применять: только для этой папки)
Все: обзор папок/выполнение файлов (применять: только для этой папки)

Для создания вложенной папки в общей папке UserProfiles используется путь в следующем формате \сервер\UserProfiles\UserName.

перенаправляемые папки:
К примеру UserData.

Разрешения для общего ресурса:
«Все» - Полный доступ.

Разрешения NTFS:
Создатель-владелец: полный доступ (применять: только для подпапок и файлов)
Система: полный доступ (применять: данная папка, подпапки и файлы)
Администраторы домена: полный доступ (применять: данная папка, подпапки и файлы)
Все: создание папок/дозапись данных (применять: только для этой папки)
Все: содержание папки/чтение данных (применять: только для этой папки)
Все: чтение атрибутов (применять: только для этой папки)
Все: обзор папок/выполнение файлов (применять: только для этой папки)

Настройте политику перенаправления папок в соответствии с инструкциями из справочной системы Windows. Для создания вложенной папки в общей папке UserData используется путь в следующем формате \сервер\UserData%username%.

Поскольку группе «Все» предоставлено разрешение «Создание папок/Дозапись данных», ее члены могут создавать папки, однако не имеют доступа к данным в этих папках. Имя_пользователя – это имя пользователя, который зарегистрировался в системе на момент создания папки. Созданная папка является дочерней по отношению к UserData и, следовательно, наследует назначенные ей разрешения.
Кроме того, создавший папку пользователь получает к ней право полного доступа.

По материалам - Microsoft

2

Caching - automatically available offline - Optimized for performance
Docs
Share
Authenticated Users - Full
Security
System, Administrators - Full
Creator - Subfolders and files only - Full
Authenticated Users - This folder only - Traverce, List folder, Read attributes, Read extended attributes, create folder / append data
Profiles
Authenticated Users - This folder only - Traverce create folder / append data

3

Правильно ли я понимаю, что при такой настройке NTFS прав, у пользователя будет доступ на создание папок в корневой директории?
Например если расшарина \Srv\redirectfolders$\ , то когда юзер(vasya) зайдет в систему он создаст например каталог \Srv\redirectfolders$\vasya\рабочий стол. Но, при этом у него останутся права создавать каталоги по пути \Srv\redirectfolders$\ а это не совсем хорошо.

4

У Вас есть предложения по этому поводу?

5

Можно было бы давать ntfs права на создание папок группам пользователей (когда создается новый юзер в домене), а после того как пользователь вошел первый раз в домен, снимать разрешение на создание папок, и оставлять только чтение. Сделать это скриптом. Но, я думаю есть какое-то более системное и правильное решение? только какое?

6

Можно, варьированием членства в группах, но это дополнительная административная нагрузка (без использования средств автоматизации) довольно ощутимая при относительной текучке, несколькими офисами в разных регионах, по факту в данном случае есть:

  • Скрытые общие папки т.е. не продвинутый пользователь их не увидит
  • Возможность периодически отслеживать “левые” папки и бить по шапке неугомонных
    По факту не владельцы папок не смогут ни скопировать ни войти в папку с документами другого пользователя, так же можно попробовать поиграться с атрибутом List folder т.е. позволяющим производить просмотр папок, уже не помню по каким причинам он включен (этот атрибут) но значит на то была причина… тем более если учесть, что это рекомендация по настройке безопасных папок от Microsoft… :wink:
    Касательно скриптов, здесь реализация может быть довольно сложной, с учетом различных факторов, так как первый вход в систему может быть не входом пользователя в ОС, а к примеру проверки почты посредством браузера (если настроена owa)… можно скриптом “шерстить” АД на наличие атрибутов LastLogon, если вход был совершен то пробовать менять членство в группах… либо отрабатывать скрипт при входе пользователя в систему “складывать” файл отчета к примеру с именем пользователя, на получателе так же “шерстить” если есть отчет с таким то именем, производить манипуляции с группами, алгоритм в принципе довольно простой… и вполне думаю реализуемый на тех же Java или VB скриптах…
7

Я сейчас сделал проще. У юзера назначил домашнюю папку. Дал ей SMB доступ - полный доступ пользователям домена.
NTFS - снял наследования, дал админу и системе все права, владельцу - полный доступ для подпапок и файлов. Пользоателям домена - просмотр и чтение атрибутов.
В GPO перенаправления папок настроил редирект на домашнюю папку. В 2008 так можно.
При такой схеме юзер имеет доступ только в свою папку. \srv\homefolders$%username%
Домашнюю Папку с именем пользователя я так пологаю создает AD, поэтому доменным пользователям достаточно давать только чтение.

8
Дал ей SMB доступ - полный доступ пользователям домена.
Имеется в виду группа Domain Users? В активке вместо полей User Profile указал Home Folder?
У юзера назначил домашнюю папку
Где эта папка находится?
9

У меня и перемещаемый профиль и домашняя папка(Home Folder).
Возможно это конечно фича какая то, то что для home folders достаточно для доменного пользователя только прав на чтения. при этом папка %username% создается в “Home Folder”.
Пробывал также сделать с перемещаемым профилем, но увы %username% не создается, нет прав. Так что для перемещаемого профиля надо давать права на создание папок.
все каталоги находятся на сервере

  1. Домашняя папка(\srv\homefolders$%username% ) - сюда я делаю редирек “Мои документы”
    для остальных папок я указал параметр следовать за домашней папкой. Для папки “Рабочий стол” можно было указать путь в домашнюю папку(Home Folder), но тогда будет неразбериха. Поэтому для редиректа рабочего стола у меня отдельная шара.
    я так делаю чтобы локально документы не хранились.
  2. перемещаемый профиль - \srv\users$%username%
10

С NTFS правами Домашней папкой(Home Folder) был глюк, после ребута сервака авторизацию юзер не проходил. Пришлось давать права на создание папок в корневой директории.

11

Не пробовал поиграться с разрешением - List Folder?

12

Круто…спасибо за подсказку!!! Так все работает и по безопастности нормально. В папку зайти нельзя, но создать там профиль можно!
Спасибо!