홈 디렉토리가있는 루트 공유에 대한 NTFS 권한 Windows Server 2008 R2

AD 프로필 탭을 사용하여에서 홈 디렉토리 \\server\home자동 생성을 사용하여 권한이 자동으로 생성됩니다.

홈 디렉토리가 생성 된 실제 폴더에 대한 NTFS 권한은 무엇입니까 ( \\server\home)?

또한 NTFS 권한으로 실제 액세스를 제어하므로 공유 권한은 항상 Everyone :: Full Access입니다. 그게 올바른 방법입니까?

이것은 내가 참조하기 위해 내가 좋아하는 것입니다.

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• CREATOR OWNER-모든 권한 (적용 대상 : 하위 폴더 및 파일 만 해당)
• 시스템-모든 권한 (적용 대상 :이 폴더, 하위 폴더 및 파일)
• 도메인 관리자-모든 권한 (적용 대상 :이 폴더, 하위 폴더 및 파일)
• 모든 사람-폴더 생성 / 데이터 추가 (적용 대상 :이 폴더 만 해당)
• 모든 사람-폴더 나열 / 데이터 읽기 (적용 대상 :이 폴더 만 해당)
• 모든 사람-속성 읽기 (적용 대상 :이 폴더에만 해당)
• 모두-폴더 트래버스 / 파일 실행 (적용 대상 :이 폴더 만 해당)

공유 권한을 다음과 같이 설정하는 것이 좋습니다.

• 모든 사람-모든 권한

여기에 문서화되어 있습니다.

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

또한이 폴더에만 적용되도록 인증 된 사용자에 대한 ACE를 추가로 편집해야합니다.

@ Dan의 답변을 확장하면 ...

제작자 소유자에게 동의하지만 사용자에게 FC를 부여하지 않습니다. 이를 통해 그들은 자신의 DACL을 설정할 수 있습니다. 내 경험상 이상한 파워 유저 ( "ar $ e에서 고통"을 읽음)가 SYSTEM에 대한 권한을 제거하여 파일 백업을 중단하면 고통의 세계가 생깁니다. 일반적으로 데이터 사용자를 수정 (구식 어조로 변경)으로 제한합니다.

시스템 : FC, 예.

도메인 관리자 : 아니요. 서버의 로컬 관리자 그룹을 지정하십시오.

모두 : 왜? 인증되지 않은 사용자가 포함되어 있기 때문에 어쨌든 "모두"를 절대 사용하지 않을 것입니다.

공유 권한-동의합니다. 액세스 쿼리를 혼동시키는 역할 만합니다.

공유 수준이 아닌 NTFS 수준에서 액세스를 제어하는 ​​것이 더 낫다는 데 동의하지만, 모든 권한을 부여하는지 여부에 관계없이 사용자는 자신이 만든 파일에 대해 소유자이기 때문에 항상 권한을 설정할 수 있습니다.

자신이 소유 한 개체에 대해서도 권한을 변경하지 못하게하려면 전체 대신에 공유 (모든 사람 용) 권한을 변경하십시오.

그런 다음 자체 홈 디렉토리에 Full (NTFS)을 제공하여 현재 진행중인 상황을 명확하게 알 수 있습니다.