DFS shares read-only maken

Als je gefaseerd gaat, zou ik op basis van een CSV (met de gebruikersnamen) de rechten van de homedrives afhalen.

Is het de bedoeling dat de gebruikers eerst nog kunnen inloggen op hun werkplek? Volgens mij kun je de homefolders dan niet op read-only zetten. Dan werkt de omgeving niet goed meer. Uiteraard afhankelijk wat er in jullie situatie naar de homefolders geschreven wordt.
Ik zou de homefolders daarom op hidden zetten.

Vergelijkbaar hebben we in onze organisatie 2 shares in DFS gepubliceerd. Binnen de home shares staan alle homefolders van gebruikers. Middels Access Based Enumeration zien gebruikers enkel de mappen waarop ze rechten hebben (enkel hun eigen folder)

\\domain.tld\home$ (read/write)
\\domain.tld\homero$ (readonly)

Op de oude werkplek zien gebruikers een H: schijf gemapped naar \\domain.tld\home$\%username%
en worden standaard folders middels GPO redirect naar \\domain.tld\home$\%username%

Op de nieuwe werkplek zien gebruikers een X: schijf gemapped naar \\domain.tld\homero$\%username% en worden standaard folders redirect naar de Onedrive for Business (middels "policies" in Intune)

De uitgegeven PC's en laptops worden omgewisseld (per gebruiker/afdeling) (inmiddels voltooid)
Gebruikers kunnen vanaf de X: schijf nog bestanden kopiëren naar hun Onedrive maar geen wijzigingen meer aanbrengen. Dit konden ze ook voorafgaand doen vanaf een virtuele werkplek (we maken gebruik van Citrix, fslogix en Onedrive)

Binnenkort schakelen we de mappings uit en daarna de oude server met daarop de homefolders (gebruikers zijn hiervan uiteraard vooraf op de hoogte gesteld)

Inderdaad, wanneer je de rechten op de home folder van de medewerker voor die medewerker aanpast van modify naar read ben je er volgens mij al. Let op dat je de rechten van SYSTEM, CREATOR OWNER en Administrators niet aanpast, want dan verlies je de toegang tot de folder.

Het gene wat het een beetje verwarrend maakt is:
1. je hebt NTFS rechten, dit zijn de rechten op de folder en bestanden
2. je hebt Share rechten, dit zijn de rechten op de shares
3. je hebt DFS permissies die je ook nog eens kunt zetten

Dit maakt dat je misschien niet goed weet waar je het moet zoeken, maar volgens mij kun je in je powershell script het zo maken dat je batch gewijs of juist met een 'one-liner' de NTFS rechten op deze map van de medewerker op read-only zet voor zijn account.

Gaat dus in mijn voorbeeld wel om de share rechten, niet NTFS
En of dat nu \\server\share is of \\dfs\share maakt dan niet uit. Zo lang de user de folder remote benadert via de share gaan de share permissies boven de NTFS permissies.

martdj schreef op vrijdag 2 december 2022 @ 09:09:
Mijn vraag:
Wat denken jullie dat de beste manier is om deze homedrives read-only te maken?

Als dat is wat je wil, dan zou ik de sharerechten van de homedirs op Read Only zetten voor domainusers.

Aanpassing van de doorverwijzing (wat DFS eigenlijk is), veranderd niets aan de rechten op de bron.Mocht je een slimme gebruiker hebben, dan kan hij altijd nog buiten DFS om naar de bron toegaan.

Dat je ze allemaal kunt zien, betekent gewoon dat Access Based Enumeration niet aan staat.
Dat je er vervolgens niet in kunt is geen probleem, dan kan een andere medewerker dat ook niet.

Als je dus de rechten per medewerker moet zetten omdat alles 1 grote share is en je dus nog mensen hebt die wel moet kunnen schrijven kom je denk ik niet eronderuit de NTFS rechten van de gebruiker op zijn eigen homedir folder in te perken.

Als je een big bang migratie doet en dus alles over zet (in een weekend dat er niet gewerkt wordt bijv.) dan was het voldoende geweest de share rechten voor de hele share op read-only te zetten.