|
Доступ к личным папкам пользователей домена
Добрых суток всем!
Вопрос слежующий: - Возможно ли в домене, мне, как администратору домена, получить доступ к личным папкам пользователей, они у меня политикой перенаправляюся на диск д (не системный)? - В случае отказа контроллера домена с учетками, пользователи не получат доступ к своим данным по понятным причинам, каким образом можно оперативно вытянуть инфу для пользователя? (к примеру если просто снять винт и подрубить к ругому компу вне домена, будет ли доступ к папке с личными данными пользователя)? - Так помимо учетки администратора домена, у меня есть учетка пользователя, так вот я случайно залогинился другим пользователем на своем компе. Политика сработала безотказно и создала новый профиль на моем компе и личную папку нового пользователя на диске д помимо моей личной. Теперь не могу удалить эту чертову папку, профиль удалил, а папку никак. Из под профиля папка не удалялась тоже - писало что она системная, нельзя удалить. Конечно она не сильно мешает, просто дело принципа, хочется разобраться. СПС. |
все зависит от того какие настройки ты применял в политиках для Групп с ограниченным доступом (и добавлял ли ты их вообще)
по умолчанию доменный админ - это локальный админ на любом компе в домене, а локальные админы имеют все права на локальные папки - опять же если ты не переназначал эти права (скриптом или вручную) в крайнем случае как локальный админ ты можешь захватить права владельца папки а потом уже переназначить как тебе нужно все права NTFS |
СПС. Все дело в том, я не уточнил, у меня дочерний домен, надо будет конечно уточнить глобальную политику для групп с ограниченным доступом. Я их не добавлял. Как я понял по умолчанию, администратор контроллера домена имеет доступ на все папки без исключения.
Меня вот насторожил один момент: При настройке новой рабочей станции, когда только винду поставил и дрова локальным админом, затем ставлю пароль на локального админа, и выскакивает сообщение сделать что-то вроде сделать личные папки (по умолчанию), и нет. Может в этом дело? На остальные вопросы кто что скажет может, сталкивался. Уточнил у вышестоящего домена, там никаких настроек не производилось |
можешь привести пример того как у тебя назначены права на папку
пример domain admins - Full domain users - read User_1 - Full Administrators(local) - Full кто назначен владельцем на папку - локальные админы/пользователь User_1/кто-то еще |
Вот:
На перенаправленную папку с фио пользователя: System - полный Администраторы - полный Пользователи - чтение (чтение и выполнение - для этой папки и ее подпапок) Создатель владелец - особые (полный доступ, применять к -только для подпапок и файлов) Пользователь чья папки - особые (полный доступ, применять к -только для этой папки) Внутри это папки: папочка Desktop и Мои документы на эти папочки разрешиения следующие: System - полный и Пользователья чья папка - полный Так автоматом формируются разрешения у всех пользователей Зайти п папку с фио могу, дальше нет, что логично исходя из разрешений. Изменить разрешения нет прав пишет |
Судя по всему у тебя с учеткой доменного админа есть права на папку <Имя пользователя>
но нет прав на внутренние папки Desktop и Мои документы - что в принципе правильно судя по разрешениям если тебе нужны права на эти папки то - можно назначить их вручную (достаточно локальному админу с наследованием на внутренние папки) - можно воспользоваться скриптом и утилитой xcacls оба способа применимы, у обоих есть приеимущества и недостатки - вручную - придется самому подойти к каждому компу и назначить, но при этом сразу сможешь и проверить доступ - скриптом - применяется сразу ко всем пользователям но может занять какое-то время - зависит от кол-ва файлов в папках, значит могут быть вопросы от пользователя что мол происходит, ну и о возможных не применившихся разрешениях ты узнаешь когда попытаешься получить доступ |
спасибо, буду пробовать, просто было интересно как удругих
|
Цитата:
и скриптами подцепляется как сетевой диск а также на сервере есть папки отделов и приложений которые тоже при логоне цепляются пользователю доступ обычно делаю так на личную папку - domain admins - Full - User_1 - Write & Read - System - Full - Группа для Backup-а - Read (группа для записи на ленту) на папку отдела - domain admins - Full - Группа отдела - Write & Read - System - Full - Группа для Backup-а - Read (группа для записи на ленту) |
Ясно спасиб, т.е. по умолчанию получается как у меня, нет доступа, все остальные манипуляции уже дополнительно (скриптами, политиками).
Доступ мне нужен конечно не для того чтобы лазить почужим докам, просто удобно например какой ярлык выкинуть или скопировать какой файл в документы к пользователю. Наверное правильно делать такие вещи скриптами, политиками - я в них (написании скриптов) пока не очень силён. Пока сделал так: добавил доступ к удаленному столу учетки пользователя (интерактивный вход вроде называется). Правда скоро все пароли поменяют и усё. Надо будет наверное ручками прописывать всем, или политику каким-то образом подправлять, только незнаю как. Или есть только два способа описанные тобой выше? |
В принципе есть еще и третий вариант - назначить права на папку через групповую политику
но насколько я помню папка на всех машинах должна называться одинаково пробовал как-то, в принципе работает Цитата:
|
Цитата:
Цитата:
|
Цитата:
Цитата:
ему не нужны права на изменение того же владельца всей папки |
спсасибо
|
| Время: 19:30. |
Время: 19:30.
© OSzone.net 2001-