Запретить пользователям домена изменять права доступа (ACL) в перенаправленных папках

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

Запретить пользователям домена изменять права доступа (ACL) в перенаправленных папках

Windows 2003 Server, DC+AD
Клиенты Windows XP Pro, перемещаемые профили, в групповой политике прописано перенаправление папок Рабочий стол и Мои документы с поддержкой автономных файлов
Все работает, перенаправляется и синхронизируется.
Интересует один аспект безопасности: как запретить пользователям менять разрешения на доступ к своим данным? Чтобы не получалось такой ситуации, когда администратор домена не может открыть какую-нибудь папку или файл, к которым пользователь-владелец закрыл доступ на уровне NTFS? Ведь в таком случае придется менять владельца и потом снова раздавать права на NTFS, что достаточно неудобно.
Доступ на корневую папку (общий ресурс UserDocs$) настроен в соответствии с рекомендациями Microsoft.
Пробовал снять галочку "Полный доступ" для доступа по сети (SMB) у корневой папки, оставив "Чтение" и "Запись". В таком случае у пользователей отключается возможность редактирования прав NTFS, но и автономные файлы не работают.
Также пробовал на сервере в NTFS-правах корневой папки явно задать запрет на смену разрешений и смену владельца для создателя-владельца и для пользователей домена. Не работает. Все равно пользователь может изменять права для своих файлов.
Есть, конечно, вариант в групповой политике запретить вкладку "Безопасность", но меня это не устраивает, т.к. является полумерой, оставляя вариант сменить права через консоль.

Буду очень признателен за помощь.

Цитата:

Цитата old_nick

Есть, конечно, вариант в групповой политике запретить вкладку "Безопасность", но меня это не устраивает, т.к. является полумерой, оставляя вариант сменить права через консоль. »

запретить использовать консоль :)*:)*:)

Цитата:

Цитата old_nick

Чтобы не получалось такой ситуации, когда администратор домена не может открыть какую-нибудь папку или файл, к которым пользователь-владелец закрыл доступ на уровне NTFS? Ведь в таком случае придется менять владельца и потом снова раздавать права на NTFS, что достаточно неудобно. »

Товарищ, а как често тебе приходится открывать пользовательские папки?
Мне - крайне редко

El Scorpio

Цитата:

Цитата El Scorpio

запретить использовать консоль ** »

Консоль у юзверей должна жить

Цитата:

Цитата El Scorpio

Товарищ, а как често тебе приходится открывать пользовательские папки?
Мне - крайне редко »

Каждый день просматриваю результаты работы на всех 50-ти компах и стучу начальству, если кто-то что-то не сделал. :) А вообще - просто надо грамотно настроить политику безопасности.

Может, есть какой-нибудь пунктик в групповой политике, который позволяет запретить пользователям изменять ACL? Но чтобы при этом не накрылось перенаправление папок и автономные файлы.

Цитата:

Цитата old_nick

есть какой-нибудь пунктик в групповой политике, »

Есть. Добавляет администратора во владельцы папки.
http://www.winxp.su/in.php?page=inc/...Chapter10/dot8

monkkey
Это политика для профилей, а не для перенаправленных папок. У меня, например, корневая папка профилей Profiles$, а корневая папка документов пользователей UserDocs$, локально лежат на сервере в D:\UserProfiles и D:\UserDocs соответственно.

С профилями я разобрался, запретив пользователям модификацию ACL снятием галочки "полный доступ" для группы "Пользователи домена" в разрешениях для общего ресурса (т.е. на уровне SMB-доступа). При этом профиль нормально подхватывается и корректно синхронизируется. Кстати, групповая политика, которую Вы мне посоветовали, у меня не работает. В профили, созданные системой (не вручную), администраторы домена залезть по-прежнему не могут. Поэтому я пошел по пути, описанному здесь.

Также я получаю доступ к любым документам пользователя (у меня настроено перенаправление папок Рабочий стол и Мои документы), имея права Администратора домена. Для этого в политике "Перенаправление папки" в свойствах папок "Мои документы" и "Рабочий стол" в закладке "Параметры" я сбросил галочку "Предоставить права монопольного доступа".
Но при этом пользователь может менять NTFS-права для своих папок вручную, запретив мне доступ к своим данным. По аналогии с настройкой корневой папки профилей я попытался запретить подобные действия пользователей, сняв галочку "полный доступ" для группы "Пользователи домена" в разрешениях для UserDocs$. Но в результате перестает работать перенаправление папок. В логах на клиентской машине (файл fdeploy.log) следующее:

Код:

15:21:30:406 Вход в модуль перенаправления папок

15:21:30:406         Флаги = 0x0

15:21:30:437         Имя объекта групповой политики = {2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D}

15:21:30:453         Путь к файлам = \\vector.local\SysVol\vector.local\Policies\{2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D}\User

15:21:30:453         Путь к папке = LDAP://CN=User,cn={2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D},cn=policies,cn=system,DC=vector,DC=local

15:21:30:453         Выводимое имя = Перенаправление папок для пользователей

15:21:30:453 Найдены параметры перенаправления папок для политики Перенаправление папок для пользователей.

15:21:30:499 Обнаружено, что этот пользователь является членом группы s-1-1-0. Соответствующий путь: \\myserver\UserDocs$\%USERNAME%\Мои документы.

15:21:30:499 Успешно получены данные о перенаправлении для Мои документы, (флаги: 0x1).

15:21:30:499 Успешно получены данные о перенаправлении для Мои рисунки, (флаги: 0x2).

15:21:30:499 Обнаружено, что этот пользователь является членом группы s-1-1-0. Соответствующий путь: \\myserver\UserDocs$\%USERNAME%\Рабочий стол.

15:21:30:499 Успешно получены данные о перенаправлении для Рабочий стол, (флаги: 0x1).

15:21:30:499 Собраны данные о параметрах перенаправления папок для политики Перенаправление папок для пользователей.

15:21:30:499 Перенаправление папки Рабочий стол в \\myserver\UserDocs$\%USERNAME%\Рабочий стол.

15:21:30:546 Прежний путь папки C:\Documents and Settings\testuser3\Рабочий стол раскрыт в C:\Documents and Settings\testuser3\Рабочий стол.

15:21:30:562 Новый путь папки \\myserver\UserDocs$\%USERNAME%\Рабочий стол раскрыт в \\myserver\UserDocs$\testuser3\Рабочий стол.

15:21:30:578 Содержимое перенаправленной папки Рабочий стол будет скопировано в новое место.

15:21:30:609 Не удалось создать папку \\myserver\UserDocs$\testuser3\Рабочий стол\Новая папка, ошибка 1338.

15:21:30:609 Не удалось выполнить перенаправление папки Рабочий стол.

Не удалось переместить в новое место файлы для перенаправленной папки.

Эта папка была настроена на перенаправление в <\\myserver\UserDocs$\%USERNAME%\Рабочий стол>. Файлы перемещались из <C:\Documents and Settings\testuser3\Рабочий стол> в <\\myserver\UserDocs$\testuser3\Рабочий стол>.

При копировании <C:\Documents and Settings\testuser3\Рабочий стол\Новая папка> в <\\myserver\UserDocs$\testuser3\Рабочий стол\Новая папка> произошла следующая ошибка: 

%%1338

Пардон, политика "Добавлять группу администраторов для перемещаемых профилей пользователя" работает, просто компьютер не был добавлен в OU, к которому применяется политика.
Но основной вопрос так и остается нерешенным... :(

а если в свойствах каталога снять разрешения изменять права доступа или создать запрет на изменение прав доступа для указанных пользователей?

El Scorpio, тут есть один нюанс.
Если пользователь является владельцем объекта (а таковым он автоматически становится для всех созданных им папок и файлов), то даже явный запрет для его учетной записи на изменение разрешений действовать не будет.