[El Scorpio]

Цитата old_nick:

Есть, конечно, вариант в групповой политике запретить вкладку "Безопасность", но меня это не устраивает, т.к. является полумерой, оставляя вариант сменить права через консоль. »

запретить использовать консоль **

Цитата old_nick:

Чтобы не получалось такой ситуации, когда администратор домена не может открыть какую-нибудь папку или файл, к которым пользователь-владелец закрыл доступ на уровне NTFS? Ведь в таком случае придется менять владельца и потом снова раздавать права на NTFS, что достаточно неудобно. »

Товарищ, а как често тебе приходится открывать пользовательские папки?
Мне - крайне редко

[old_nick]

El Scorpio

Цитата El Scorpio:

запретить использовать консоль ** »

Консоль у юзверей должна жить

Цитата El Scorpio:

Товарищ, а как често тебе приходится открывать пользовательские папки? Мне - крайне редко »

Каждый день просматриваю результаты работы на всех 50-ти компах и стучу начальству, если кто-то что-то не сделал. А вообще - просто надо грамотно настроить политику безопасности.

Может, есть какой-нибудь пунктик в групповой политике, который позволяет запретить пользователям изменять ACL? Но чтобы при этом не накрылось перенаправление папок и автономные файлы.

[monkkey]

Цитата old_nick:

есть какой-нибудь пунктик в групповой политике, »

Есть. Добавляет администратора во владельцы папки.
http://www.winxp.su/in.php?page=inc/...Chapter10/dot8

[old_nick]

monkkey
Это политика для профилей, а не для перенаправленных папок. У меня, например, корневая папка профилей Profiles$, а корневая папка документов пользователей UserDocs$, локально лежат на сервере в D:\UserProfiles и D:\UserDocs соответственно.

С профилями я разобрался, запретив пользователям модификацию ACL снятием галочки "полный доступ" для группы "Пользователи домена" в разрешениях для общего ресурса (т.е. на уровне SMB-доступа). При этом профиль нормально подхватывается и корректно синхронизируется. Кстати, групповая политика, которую Вы мне посоветовали, у меня не работает. В профили, созданные системой (не вручную), администраторы домена залезть по-прежнему не могут. Поэтому я пошел по пути, описанному здесь.

Также я получаю доступ к любым документам пользователя (у меня настроено перенаправление папок Рабочий стол и Мои документы), имея права Администратора домена. Для этого в политике "Перенаправление папки" в свойствах папок "Мои документы" и "Рабочий стол" в закладке "Параметры" я сбросил галочку "Предоставить права монопольного доступа".
Но при этом пользователь может менять NTFS-права для своих папок вручную, запретив мне доступ к своим данным. По аналогии с настройкой корневой папки профилей я попытался запретить подобные действия пользователей, сняв галочку "полный доступ" для группы "Пользователи домена" в разрешениях для UserDocs$. Но в результате перестает работать перенаправление папок. В логах на клиентской машине (файл fdeploy.log) следующее:

Код:

15:21:30:406 Вход в модуль перенаправления папок
15:21:30:406 	Флаги = 0x0
15:21:30:437 	Имя объекта групповой политики = {2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D}
15:21:30:453 	Путь к файлам = \\vector.local\SysVol\vector.local\Policies\{2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D}\User
15:21:30:453 	Путь к папке = LDAP://CN=User,cn={2A018E91-E7CD-4CA8-8283-2F3C4B2CE18D},cn=policies,cn=system,DC=vector,DC=local
15:21:30:453 	Выводимое имя = Перенаправление папок для пользователей
15:21:30:453 Найдены параметры перенаправления папок для политики Перенаправление папок для пользователей.
15:21:30:499 Обнаружено, что этот пользователь является членом группы s-1-1-0. Соответствующий путь: \\myserver\UserDocs$\%USERNAME%\Мои документы.
15:21:30:499 Успешно получены данные о перенаправлении для Мои документы, (флаги: 0x1).
15:21:30:499 Успешно получены данные о перенаправлении для Мои рисунки, (флаги: 0x2).
15:21:30:499 Обнаружено, что этот пользователь является членом группы s-1-1-0. Соответствующий путь: \\myserver\UserDocs$\%USERNAME%\Рабочий стол.
15:21:30:499 Успешно получены данные о перенаправлении для Рабочий стол, (флаги: 0x1).
15:21:30:499 Собраны данные о параметрах перенаправления папок для политики Перенаправление папок для пользователей.
15:21:30:499 Перенаправление папки Рабочий стол в \\myserver\UserDocs$\%USERNAME%\Рабочий стол.
15:21:30:546 Прежний путь папки C:\Documents and Settings\testuser3\Рабочий стол раскрыт в C:\Documents and Settings\testuser3\Рабочий стол.
15:21:30:562 Новый путь папки \\myserver\UserDocs$\%USERNAME%\Рабочий стол раскрыт в \\myserver\UserDocs$\testuser3\Рабочий стол.
15:21:30:578 Содержимое перенаправленной папки Рабочий стол будет скопировано в новое место.
15:21:30:609 Не удалось создать папку \\myserver\UserDocs$\testuser3\Рабочий стол\Новая папка, ошибка 1338.
15:21:30:609 Не удалось выполнить перенаправление папки Рабочий стол.
Не удалось переместить в новое место файлы для перенаправленной папки.
Эта папка была настроена на перенаправление в <\\myserver\UserDocs$\%USERNAME%\Рабочий стол>. Файлы перемещались из <C:\Documents and Settings\testuser3\Рабочий стол> в <\\myserver\UserDocs$\testuser3\Рабочий стол>.
При копировании <C:\Documents and Settings\testuser3\Рабочий стол\Новая папка> в <\\myserver\UserDocs$\testuser3\Рабочий стол\Новая папка> произошла следующая ошибка: 
%%1338

[old_nick]

Пардон, политика "Добавлять группу администраторов для перемещаемых профилей пользователя" работает, просто компьютер не был добавлен в OU, к которому применяется политика.
Но основной вопрос так и остается нерешенным...

[El Scorpio]

а если в свойствах каталога снять разрешения изменять права доступа или создать запрет на изменение прав доступа для указанных пользователей?

[old_nick]

El Scorpio, тут есть один нюанс.
Если пользователь является владельцем объекта (а таковым он автоматически становится для всех созданных им папок и файлов), то даже явный запрет для его учетной записи на изменение разрешений действовать не будет.