Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du dynamiskt skapar säkerhetsförbättrade omdirigerade mappar eller hemmappar.
Ursprungligt KB-nummer: 274443
Sammanfattning
I Microsoft Windows Server Active Directory kan du som administratör anpassa skrivbord med hjälp av mappomdirigering eller tilldela en serverbaserad hemmapp. Dessutom kan du omdirigera följande mappar med hjälp av Active Directory och grupprincip:
- Programdata
- Skrivbord
- Mina dokument
- Mina dokument/mina bilder
- Start-menyn
Du hittar mer information om mappomdirigering genom att söka i Windows-hjälpen efter mappomdirigering.
När du omdirigerar mappar till en delad plats i ett nätverk behöver du både läs- och skrivåtkomst till den här platsen så att du kan läsa innehållet i dessa mappar. Men i vissa scenarier kanske du inte vill bevilja läsbehörighet till andra användare.
Skapa säkerhetsförstärkta omdirigerade mappar
Gör följande för att se till att endast användaren och domänadministratörerna har behörighet att öppna en viss omdirigerad mapp:
Välj en central plats i din miljö där du vill lagra mappomdirigering och dela sedan den här mappen. I det här exemplet används FLDREDIR och HOMEDIR.
Ange Dela behörigheter för gruppen Alla till Fullständig kontroll.
Använd följande inställningar för NTFS-behörigheter:
- CREATOR OWNER – fullständig kontroll (gäller för: Endast undermappar och filer)
- System – Fullständig kontroll (Tillämpa på: Den här mappen, undermappar och filer)
- Domänadministratörer – fullständig kontroll (tillämpa på: Den här mappen, undermappar och filer)
- Alla – Skapa mapp-/tilläggsdata (tillämpa på: Endast den här mappen)
- Alla – Lista mapp/läsdata (gäller för: Endast den här mappen)
- Alla – Läsattribut (gäller för: Endast den här mappen)
- Alla – Traverse Folder/Execute File (Tillämpa på: Endast den här mappen)
Konfigurera omdirigeringsprincip för mappar enligt beskrivningen i Windows-hjälpen. Använd en sökväg som liknar för att
\\server\FLDREDIR\%username%skapa en mapp under den delade mappen FLDREDIR.Du kan också konfigurera en hemmapp "HOMEDIR" på ett liknande sätt genom att kopiera en mallanvändare med en hemmapp som
\\server\HOMEDIR\%username%, eller skapa användaren och mappen med det namnet.Kommentar
För hemmappar är scenariot inte vanligt eftersom Active Directory - användare och datorer skapar mappen när du lägger till hemmappen för en användare. Men om du använder en anpassad etablering skapar Active Directory - användare och datorer inte mappen. Därför måste du göra det själv.
Varför dessa behörigheter bidrar till att förbättra säkerheten för resursmapparna
Eftersom gruppen Alla har rättigheten Skapa mapp/Lägg till data har gruppmedlemmarna rätt behörighet att skapa mappen. Medlemmarna kan dock inte läsa data efteråt. Gruppen Användarnamn är namnet på den användare som loggades in när du skapade mappen. Eftersom mappen är underordnad den överordnade mappen ärver den de behörigheter som du har tilldelat FLDREDIR. Eftersom användaren skapar mappen får användaren också fullständig kontroll över mappen på grund av inställningen Behörighet för skaparens ägare.
Mer information
Artikeln skrevs ursprungligen för Windows Server 2003 och åtkomstkontrollposten (ACE) för CreatorOwner konverterades troligen till:
<Mappanvändare> – fullständig kontroll (Använd på: Den här mappen, undermappar och filer)
Men det finns inga bevis för att det här har hänt. I de tidigare versionerna av artikeln nämns inte resultatet av åtkomstkontrollistan (ACL) och versionerna av de operativsystem som den här artikeln skrevs för stöds inte längre.
I slutet av maj 2017 konverterade alla operativsystem som stöds ACE till:
<Mappanvändare> – fullständig kontroll (gäller endast för: Det här objektet)
Men detta påverkar inte de dagliga åtgärderna i mapparna för användarna. Det gör skillnad när administratören måste arbeta med innehållet i startmapparna eller omdirigerade mappar.
Om du vill se till att användaren får den ärvbara fullständiga kontrollen för alla underordnade objekt måste du:
Skapa mappmatchningen för användarnas samaccountname själv.
Ange de behörigheter som behövs för mappen, utelämna alla ACL:er ovan och se till att du har ACE:
<Mappanvändare> – fullständig kontroll (Använd på: Den här mappen, undermappar och filer)
Referenser
Mer information finns i Översikt över mappomdirigering.