为了便于公司文件的统一管理、备份等,希望实现每个用户登录的时候都自动给用户映射一个专属于用户自己的文件夹,而该文件夹只对登录的用户有所有权;其他用户无权访问和修改。这个我们可以利用用户的主文件夹来实现,当然还会有其他方法实现,这不在这次的讨论访问类
实验环境如下:
张三、李四属于技术部
王五属于销售部
最终希望实现的效果就是这三个用户登录的时候自动映射一个用户专属的文件夹,其他用户不能访问;同时部门之间也不能相互访问。
在实验环境中我们直接利用SMB共享来完成共享文件夹的建立,当然也可以直接建共享文件夹然后设权限。在向导中我们选择"SMB共享-高级"
选择路径,这里选择默认
为技术部建立该部门的共享文件夹
勾选上基于存取的枚举,这样就可以控制用户只能访问自己有权限访问的文件夹,无权限访问的文件夹直接在共享路径上都无显示。
在权限设置栏中是我们重点设置的地方,选择自定义权限。
首先打开共享权限,将everyone删除。Everyone这个容器无任何权限
添加技术部进来并赋予更改权限或者完全控制 ,这根据实际需求而定
同时也要将域管理员组添加进来赋予更改或完全控制权限,这里赋予完全控制权限。如果在共享权限中域管理员无权限的话,则在AD中建立用户自己的共享文件夹时会提示无权限。
转到权限设置栏目里,点击禁用继承
点击第一项:"将已继承的权限转换为此对象的显式权限",这样从父级继承下来的权限可以修改或者删除,如果选择下面的"从此对象中删除所有已继承的权限" 则会所有从父级继承的权限全部删除。所以选择"将已继承的权限转换为此对象的显式权限"更符合我们的需求
完成后可以发现"继承于"列中由原先的从C:\ 继承变无
将具有特殊权限的user 删除
然后编辑读取和执行的users
应用范围改为"只有该文件"
至此权限设置完毕
指定文件夹管理属性,最后完成即可。
类似的创建销售部的文件夹,此处只显示关键的页面即可
建立销售部的共享文件夹
共享权限中间everyone权限删除,添加销售部并赋予更改权限,域管理员组赋予完全控制权限
权限设置栏里通用禁用集成,将特殊选择的users删除,读取和执行的users应用范围内更改为"只有该文件夹"
至此共享文件夹及其权限设置完毕。
在活动目录中为用户设置主文件夹,为了便于批量管理我们可以同时选择同一个组中的多个用户点击属性
在配置文件中 勾选"主文件夹"并设置映射盘符及路径,对于技术部的员工其主文件夹统一建立在技术部的共享文件夹下。对于多个用户我们可以用变量%username% 来自动匹配用户名
同样的设置销售部的王五的主文件夹
共享路径中可以看出已经自动为每个用户创建了以用户名命名的文件夹
用户张三登录进行测试
成功映射个人磁盘
访问共享 验证权限设置,技术部的张三无权访问销售部的共享文件夹
打开技术部的共享文件夹也只看到自己的文件夹并不会看到李四的文件夹,那是因为共享中设置了"基于存取的枚举"对于无权访问的路径,是不会给该用户显示的。
同样的李四登录也只能看到自己的文件夹。
本文出自 “青枫口” 博客,请务必保留此出处http://huanwenli.blog.51cto.com/2848240/1650525
原文地址:http://huanwenli.blog.51cto.com/2848240/1650525
