Staat in het volgende. Zover ik kan nagaan geldt hetzelfde voor mappen waar de zwervende profielen in opgeslagen worden. Let op: De informatie geldt als je nog géén policy had ingesteld, dus het zijn instellingen
vooraf, niet achteraf 'gecorrigeerd':
For folder redirection to work properly, configure the NTFS as follows:
1) Configure the folder to
not inherit permissions and remove all existing permissions.
2) Add the file server’s local Administrators group with Full Control of This Folder, Subfolders, and Files.
3) Add the Domain Admins domain security group with Full Control of This Folder, Subfolders, and Files.
4) Add the System account with Full Control of This Folder, Subfolders, and Files.
5) Add the Creator/Owner with Full Control of Subfolders and Files.
6) Add the Authenticated Users group with both List Folder/Read Data and Create Folders/Append Data – This Folder Only rights. The Authenticated Users group can be replaced with the desired group, but do not choose the Everyone group as a best practice.
The share permissions of the folder can be configured to grant administrators Full Control and authenticated users Change permissions.
Verder schrijft MS nog wat over de rechten in
dit KB-artikel. Lees dit, want zet de rechten nog wat strakker dan bovenstaand citaat. Bovendien is het sowieso interessant leesvoer, want mét uitleg waarom die rechten zo gezet kunnen/moeten worden.
Algemene opmerking: Eigenlijk hadden de rechten goed gezet zijn vóórdat je zwervende profielen en omgeleide folders instelde. Als je de rechten nog wilt aanpassen,
test eerst wat er gebeurt als je de rechten achteraf gaat aanpassen (het kan zijn dat je, bijv., tegen toegangsrechten-problemen aanloopt en eigenaarschap-problemen aanloopt daarbij).
Oftewel: Maak en deel weer 2 nieuwe gedeelde mappen die je qua hetzelfde ingesteld hebt als je origineel had staan bij redirectedfolders en profiles (zie jouw schermafdrukken), maak een test-Afdeling/test-OU in je AD, maak (minstens) 2 nieuwe test-gebruikers in die test-Afdeling/OU en log op die nieuwe gebruiker in vanaf een werkstation, doe wat algemene dingen die zo'n gebruiker kan doen (start Word, Firefox/Internet Explorer, Acrobat Reader etc., maak bestanden op je (omgeleide) bureaublad en in de (omgeleide) Mijn Documenten etc.). Log de gebruiker uit en log in als test-gebruiker2. Doe daar hetzelfde. Ga daarna kijken wat er gebeurt als je (achteraf dus) de share- en bestandsrechten gaat ombouwen. Kijk of je tegen direct gemelde problemen aanloopt. Log daarna opnieuw in als die 2 testgebruikers, doe weer wat test-activiteiten etc. (kijk of je daar problemen bij tegenkomt) en log ze uit. Kijk de logboeken op de server en het werkstation na op problemen die veroorzaakt zijn door je rechtenaanpassingen in deze testomgeving.
Check verder voor de volledigheid wat je (met de
huidige rechten) wél en niet kunt zien als je naar de shares gaat waar het zwervend profiel en omgeleide mappen terechtkomen. Dus in jouw geval inloggen als een gebruiker die al bestond (niet de test-user uit de vorige paragraaf) en kijk op de \\<servernaam>\redirectedfolders en \\<servernaam>\profiles mappen. Ziet deze 'standaard'-gebruiker alleen zijn eigen profiel- en omgeleide mappen, dan zie ik geen reden om nog aanpassingen te gaan doen. Ziet de gebruiker echter 'te veel', dan is het zinvol om te gaan testen met achteraf aanpassen van de rechten (zie vorige paragraaf/paragrafen).
Samenvattend: De rechten goed zetten had eigenlijk
vooraf moeten gebeuren. Wil/moet je
achteraf de rechten aanpassen, test eerst in een testomgeving of je daarmee problemen op je hals haalt.
Succes,
Tijs.
