ホームディレクトリWindows Server 2008 R2を格納するルート共有のNTFSアクセス許可

ADプロファイルタブを使用してでホームディレクトリを\\server\home自動作成しているため、権限が自動的に作成されます。

（\\server\home）でホームディレクトリが作成される実際のフォルダーに対するNTFSアクセス許可はどのようにする必要がありますか？

また、実際のアクセスはNTFSアクセス許可で制御しているため、共有アクセス許可は常にEveryone ::フルアクセスです。それは正しい方法ですか？

これは私が参照のために私のお気に入りに持っているものです：

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• CREATOR OWNER-フルコントロール（適用先：サブフォルダーとファイルのみ）
• システム-フルコントロール（適用先：このフォルダー、サブフォルダー、ファイル）
• ドメイン管理者-フルコントロール（適用先：このフォルダー、サブフォルダー、ファイル）
• 全員-フォルダの作成/データの追加（適用先：このフォルダのみ）
• 全員-フォルダのリスト/データの読み取り（適用先：このフォルダのみ）
• 全員-属性の読み取り（適用先：このフォルダーのみ）
• 全員-フォルダーのトラバース/ファイルの実行（適用先：このフォルダーのみ）

また、共有権限を次のように設定することをお勧めします。

• 全員-フルコントロール

それはここに文書化されています：

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

さらに、認証されたユーザーのACEをさらに編集して、このフォルダーにのみ適用されるようにする必要があります。

@ダンの答えを拡張しています...

クリエイターオーナーに同意しますが、ユーザーにFCを付与することはありません。これにより、彼らが独自のDACLを設定できるようになります。私の経験では、奇妙なパワーユーザー（「ar $ eの痛み」を読む）がSYSTEMの権限を削除すると、ファイルのバックアップが停止します。 、通常はデータのユーザーを変更（旧式の用語では変更）に制限します。

システム：FC、はい。

ドメイン管理者：いいえ。サーバーのローカル管理者グループを指定します。

みんな：なぜ？認証されていないユーザーが含まれているため、個人的には「Everyone」を決して使用しません。

共有許可-同意します。アクセスクエリを混乱させるだけです。

共有レベルよりもNTFSレベルでアクセスを制御する方がよいことに同意しますが、フルコントロールを付与するかどうかに関係なく、ユーザーは自分が所有者であるため、作成したファイルに常にアクセス許可を設定できます。

所有しているオブジェクトに対しても権限を変更できないようにするには、共有の権限をフルではなく変更（全員の場合）にします。

次に、自分のホームディレクトリにフル（NTFS）を与えると、何が起こっているのかが明確になります。