Извините за ужасный заголовок.
Таким образом, у нас есть проблема, где полномочия на нашем файловом сервере установлены следующим образом:
D:\Data>cacls d:\data\mydocs\johnny.depp
d:\data\mydocs\Johnny.Depp
BUILTIN\Administrators:F
BUILTIN\Administrators:(OI)(CI)(IO)F
BUILTIN\Administrators:(ID)F
CREATOR OWNER:(OI)(CI)(IO)(ID)F
DOMAIN\FAccess:(OI)(CI)(ID)F
Это - когда пользователь создается, и домашний диск создается через ADUCs.
Группа администраторов не указана на доле или полномочиях NTFS родительской папки, и наследование выключено. Если я создаю каталог на доле вручную:
C:\Users\Faccess>cacls d:\data\mydocs\tom.hardy
d:\data\mydocs\Tom.Hardy DOMAIN\Faccess:(ID)F
CREATOR OWNER:(OI)(CI)(IO)(ID)F
DOMAIN\Faccess:(OI)(CI)(IO)(ID)F
Который является тем, что я ожидаю.
Так какие-либо идеи, почему группа администраторов добавляется? только вещь, о которой я могу думать, состоит в том, что ADUC добавляет его, но я не вижу документации относительно того, какие полномочия это использует для создания папки, я предполагаю, что это использует зарегистрированного пользователя, который создает пользователя, но снова - никакая идея, почему это добавило бы разрешение для администраторов.
Любая справка была бы большой
Если вы предварительно создаете и ACL для каталога перед назначением этого UNC-пути учетной записи пользователя, ADUC не добавит группу администраторов. При любом изменении пути к домашнему диску пользователя будет предложено (ниже) добавить ACL для пользователя.
В противном случае создается каталог и добавляется ACL группы администраторов. См. Следующее о поведении ADUC: https://support.microsoft.com/en-us/kb/817009
Таким образом, пользователи и компьютеры Windows 2000 Active Directory Утилита автоматически определяет разрешения для новой домашней папки для вас, назначив администратора и хозяина дома Папка с разрешением Full Control.
Потому что у вас есть эти группы в папке верхнего уровня, и когда AD создает домашнюю папку, включается наследование. Так не должно быть. У меня такая же проблема.