Het probleem is dat domain users bij toeval toegang hebben ontdekt tot de share waarin alle home folders staan en ze kunnen de home folder en bestanden ook openen van collega's.
Voorbeeld:
We hebben een server genaamd Server1 en daarop hebben we D:\Homefolders aangemaakt.
Homefolders is een hidden share met Full Control voor Everyone.
De map Homefolders heeft standaard onderstaande NTFS rechten na het aanmaken:
CREATOR OWNER - Subfolders and files only
SYSTEM - This folder, subfolders and files
Administrators (Domeinnaam\Administrators) - This folder, subfolders and files
Users (Domainnaam\Users) - This folder, subfolders and subfolders
Elke home folder die vervolgens wordt aangemaakt zodra een medewerker voor het eerst inlogt krijgt d.m.v. inheritance bovenstaande rechten.
Doordat Users (Domainnaam\Users) This folder, subfolders and subfolders heeft kan iedereen bij elkaars homefolder, wat je niet wil.
Bij het aanmaken van D:\Homefolders moet je eigenlijk meteen de rechten goed zetten zodat Users (Domainnaam\Users) alleen 'This folder only' rechten heeft en niet ook op alle submappen en bestanden, maar dat is in dit geval dus niet gedaan.
Nu zijn er allerlei scripts die de rechten goed kunnen zetten, maar dan wordt bijvoorbeeld aangegeven om eerst handmatig de NTFS rechten goed te zetten op in dit geval D:\Homefolders
Bijvoorbeeld https://www.wardvissers.n...r-rights-with-powershell/
Onderstaande wordt dan geadviseerd om handmatig in te stellen op de Homefolders share:
• CREATOR OWNER – Full Control (Apply onto: Subfolders and Files Only)
• System – Full Control (Apply onto: This Folder, Subfolders and Files)
• Domain Admins – Full Control (Apply onto: This Folder, Subfolders and Files)
• Everyone – Create Folder/Append Data (Apply onto: This Folder Only)
• Everyone – List Folder/Read Data (Apply onto: This Folder Only)
• Everyone – Read Attributes (Apply onto: This Folder Only)
• Everyone – Traverse Folder/Execute File (Apply onto: This Folder Only)
Everyone zou ik kunnen aanpassen naar Domain Users en daarna het script te draaien zodat d.m.v. inheritance de rechten dan goed worden doorgevoerd en (Domainnaam\Users) alleen 'This folder only' rechten heeft
Is er iemand die ook eens tegen dit probleem is aangelopen en zijn/haar ervaring wil delen hoe dat is opgelost?
Voorbeeld:
We hebben een server genaamd Server1 en daarop hebben we D:\Homefolders aangemaakt.
Homefolders is een hidden share met Full Control voor Everyone.
De map Homefolders heeft standaard onderstaande NTFS rechten na het aanmaken:
CREATOR OWNER - Subfolders and files only
SYSTEM - This folder, subfolders and files
Administrators (Domeinnaam\Administrators) - This folder, subfolders and files
Users (Domainnaam\Users) - This folder, subfolders and subfolders
Elke home folder die vervolgens wordt aangemaakt zodra een medewerker voor het eerst inlogt krijgt d.m.v. inheritance bovenstaande rechten.
Doordat Users (Domainnaam\Users) This folder, subfolders and subfolders heeft kan iedereen bij elkaars homefolder, wat je niet wil.
Bij het aanmaken van D:\Homefolders moet je eigenlijk meteen de rechten goed zetten zodat Users (Domainnaam\Users) alleen 'This folder only' rechten heeft en niet ook op alle submappen en bestanden, maar dat is in dit geval dus niet gedaan.
Nu zijn er allerlei scripts die de rechten goed kunnen zetten, maar dan wordt bijvoorbeeld aangegeven om eerst handmatig de NTFS rechten goed te zetten op in dit geval D:\Homefolders
Bijvoorbeeld https://www.wardvissers.n...r-rights-with-powershell/
Onderstaande wordt dan geadviseerd om handmatig in te stellen op de Homefolders share:
• CREATOR OWNER – Full Control (Apply onto: Subfolders and Files Only)
• System – Full Control (Apply onto: This Folder, Subfolders and Files)
• Domain Admins – Full Control (Apply onto: This Folder, Subfolders and Files)
• Everyone – Create Folder/Append Data (Apply onto: This Folder Only)
• Everyone – List Folder/Read Data (Apply onto: This Folder Only)
• Everyone – Read Attributes (Apply onto: This Folder Only)
• Everyone – Traverse Folder/Execute File (Apply onto: This Folder Only)
Everyone zou ik kunnen aanpassen naar Domain Users en daarna het script te draaien zodat d.m.v. inheritance de rechten dan goed worden doorgevoerd en (Domainnaam\Users) alleen 'This folder only' rechten heeft
Is er iemand die ook eens tegen dit probleem is aangelopen en zijn/haar ervaring wil delen hoe dat is opgelost?