爲了便於公司文件的統一管理、備份等,希望實現每個用戶登錄的時候都自動給用戶映射一個專屬於用戶自己的文件夾,而該文件夾只對登錄的用戶有所有權;其他用戶無權訪問和修改。這個我們可以利用用戶的主文件夾來實現,當然還會有其他方法實現,這不在這次的討論訪問類
實驗環境如下:
張三、李四屬於技術部
王五屬於銷售部
最終希望實現的效果就是這三個用戶登錄的時候自動映射一個用戶專屬的文件夾,其他用戶不能訪問;同時部門之間也不能相互訪問。
一:創建共享文件夾並設置權限
在實驗環境中我們直接利用SMB共享來完成共享文件夾的建立,當然也可以直接建共享文件夾然後設權限。在嚮導中我們選擇"SMB共享-高級"
選擇路徑,這裏選擇默認
爲技術部建立該部門的共享文件夾
勾選上基於存取的枚舉,這樣就可以控制用戶只能訪問自己有權限訪問的文件夾,無權限訪問的文件夾直接在共享路徑上都無顯示。
在權限設置欄中是我們重點設置的地方,選擇自定義權限。
首先打開共享權限,將everyone刪除。Everyone這個容器無任何權限
添加技術部進來並賦予更改權限或者完全控制 ,這根據實際需求而定
同時也要將域管理員組添加進來賦予更改或完全控制權限,這裏賦予完全控制權限。如果在共享權限中域管理員無權限的話,則在AD中建立用戶自己的共享文件夾時會提示無權限。
轉到權限設置欄目裏,點擊禁用繼承
點擊第一項:"將已繼承的權限轉換爲此對象的顯式權限",這樣從父級繼承下來的權限可以修改或者刪除,如果選擇下面的"從此對象中刪除所有已繼承的權限" 則會所有從父級繼承的權限全部刪除。所以選擇"將已繼承的權限轉換爲此對象的顯式權限"更符合我們的需求
完成後可以發現"繼承於"列中由原先的從C:\ 繼承變無
將具有特殊權限的user 刪除
然後編輯讀取和執行的users
應用範圍改爲"只有該文件"
至此權限設置完畢
指定文件夾管理屬性,最後完成即可。
類似的創建銷售部的文件夾,此處只顯示關鍵的頁面即可
建立銷售部的共享文件夾
共享權限中間everyone權限刪除,添加銷售部並賦予更改權限,域管理員組賦予完全控制權限
權限設置欄裏通用禁用集成,將特殊選擇的users刪除,讀取和執行的users應用範圍內更改爲"只有該文件夾"
至此共享文件夾及其權限設置完畢。
二:設置用戶主文件夾
在活動目錄中爲用戶設置主文件夾,爲了便於批量管理我們可以同時選擇同一個組中的多個用戶點擊屬性
在配置文件中 勾選"主文件夾"並設置映射盤符及路徑,對於技術部的員工其主文件夾統一建立在技術部的共享文件夾下。對於多個用戶我們可以用變量%username% 來自動匹配用戶名
同樣的設置銷售部的王五的主文件夾
共享路徑中可以看出已經自動爲每個用戶創建了以用戶名命名的文件夾
三:測試
用戶張三登錄進行測試
成功映射個人磁盤
訪問共享 驗證權限設置,技術部的張三無權訪問銷售部的共享文件夾
打開技術部的共享文件夾也只看到自己的文件夾並不會看到李四的文件夾,那是因爲共享中設置了"基於存取的枚舉"對於無權訪問的路徑,是不會給該用戶顯示的。
同樣的李四登錄也只能看到自己的文件夾。
