Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 10
Для этого существует "мои документы" и перенаправляемые папки.
Оставьте монтируемые диски в 90х, это анахронизм.
Но если очень хочется, то подумайте немного над уменьшением разрешений. Зачем вы даете владельцу full control? Обязательно найдется человек который выстрелит себе в ногу с такими правами. Ему достаточно RW.
В данном случае, вероятно нужно ограничить зону действия this folder only:
И опять же. Если так как на скрине, то любой пользователь может поменять права на любой sub folder.
Оставьте монтируемые диски в 90х, это анахронизм.
Но если очень хочется, то подумайте немного над уменьшением разрешений. Зачем вы даете владельцу full control? Обязательно найдется человек который выстрелит себе в ногу с такими правами. Ему достаточно RW.
В данном случае, вероятно нужно ограничить зону действия this folder only:
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions
И опять же. Если так как на скрине, то любой пользователь может поменять права на любой sub folder.
На моей памяти Folder Redirection без "Creator Owner = Full" как-то не очень работал, а точнее совсем не работал и требовал ручного создания папок.
Для создания папок достаточно "Traverse Folder/Execute File, List Folder/Read Data, Read Attributes, Create Folders/Append Data" с зоной действия "This Folder Only". В статье излишнее разрешение "Change permission" и излишняя зона действия, оно позволяет менять разрешения в любой папке. И это основная проблема которую я тут вижу.
Для подпапок, то есть непосредственно индивидуальных папок пользователей "creator owner = full" и "creator owner = rw" это одно и тоже. Я как-то даже заметку об этом написал, но ее забросали помидорами по причине того, что это всем и так очевидно. Но я бы рекомендовал все же дополнительно ограничивать пользователям право менять разрешения. Им бывает хочется необычного, например залезть в закладку безопасность и поудалять все непонятное.
А также неплохой идеей считаю добавлять "Enable Access-Based Enumeration".
Для подпапок, то есть непосредственно индивидуальных папок пользователей "creator owner = full" и "creator owner = rw" это одно и тоже. Я как-то даже заметку об этом написал, но ее забросали помидорами по причине того, что это всем и так очевидно. Но я бы рекомендовал все же дополнительно ограничивать пользователям право менять разрешения. Им бывает хочется необычного, например залезть в закладку безопасность и поудалять все непонятное.
А также неплохой идеей считаю добавлять "Enable Access-Based Enumeration".
Сетевые диски анахронизм? Можно немного подробнее, если не затруднит?
Здесь хорошо сказано http://superuser.com/questions/393397/why-is-it-bad-to-map-network-drives-in-windows
Нет ничего страшного в том чтобы использовать сетевые диски. Они интуитивно понятнее некоторым людям, но это прошлое, по моему мнению. У них есть ряд технических и в большей степени логических недостатков.
Технически могут быть проблемы с DFS. Но это решаемо.
Проблема в том, что список дисков нужно поддерживать в рамках всей организации. Они используют тоже адресное пространство(алфавит), что и физические диски.
Я не вижу в них никакого удобства по сравнению с точно также подключаемыми сетевыми путями. Вы можете сказать, коллеги я настроил вам доступ к документации он находится на:
Нет ничего страшного в том чтобы использовать сетевые диски. Они интуитивно понятнее некоторым людям, но это прошлое, по моему мнению. У них есть ряд технических и в большей степени логических недостатков.
Технически могут быть проблемы с DFS. Но это решаемо.
Проблема в том, что список дисков нужно поддерживать в рамках всей организации. Они используют тоже адресное пространство(алфавит), что и физические диски.
Я не вижу в них никакого удобства по сравнению с точно также подключаемыми сетевыми путями. Вы можете сказать, коллеги я настроил вам доступ к документации он находится на:
- Диске Z:
- В папке "документация", которую вы можете легко найти в проводнике или моем компьютере.
Мой аргумент, сетевые диски не имеют преимущества по сравнению с сетевыми путями. Но имеют недостатки.
Диски нужны только для поддержки старых версий программ, и старых версий пользователей которым проще запомнить что нужные файлы лежат на диске Z:, чем то что нужные файлы лежат в папке "нужные файлы".
PS. Про старые версии людей это шутка, не воспринимайте ее слишком серьезно.
PS2. Конкретный описанный в статье случай, на мой взгляд плодит целых 2 лишних сущности. У вас уже есть мои документы, использование которых уже интегрировано в большинство ПО. Для которых также продуманы специальные механизмы перемещаемых профилей.
Всё-таки "мои документы" не всегда удобно использовать, и визуализация квоты в случае с дисками более понятна для пользователей. я использую оба варианта ( и сетевые диски, как раз из за специфичного ПО, и сетевые папки), диски часто более отзывчивы, хотя располагаются, фактически, в одном и том же томе на сервере ( это странно, но это так, почему — неизвестно) так что некоторые преимущества у них всё-таки есть.
За ссылку спасибо, в комментариях упомянута проблема безопасности, с которой я пока не сталкивался, надо проверить :)
За ссылку спасибо, в комментариях упомянута проблема безопасности, с которой я пока не сталкивался, надо проверить :)
Добрый день.
Знаю что данный комментарий очень старый, но можете скинуть документацию как эти «подключаемые сетевые пути» в gpo реализовать?
Сейчас только документация по дискам есть. Да же в docs.microsoft.com человек задает прямой вопрос, а ему говорят как ярлык на «Рабочий стол кинуть» или вообще добрые люди скрипты делают. Но ведь это не нормально. Я скриптами диски в XP мапил. Так это XP.
Заранее спасибо.
Знаю что данный комментарий очень старый, но можете скинуть документацию как эти «подключаемые сетевые пути» в gpo реализовать?
Сейчас только документация по дискам есть. Да же в docs.microsoft.com человек задает прямой вопрос, а ему говорят как ярлык на «Рабочий стол кинуть» или вообще добрые люди скрипты делают. Но ведь это не нормально. Я скриптами диски в XP мапил. Так это XP.
Заранее спасибо.
простите, но s/тся/тЬся/g
Домашнюю папку пользователя в домене ( можно также подключить через оснастку "Active Directory пользователи и группы", указав путь для домашней папки непосредственно в профиле пользователя. Папки пользователей при этом создаются автоматически и с нужными правами, затем можно указать через "folder redirection" привязку непосредственно к домашней папке.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Добавление сетевых дисков с персональными папками для пользователей через GPP на примере Windows Server 2012R2