請教各位前輩:
小弟的公司原本都是讓所有User擁有本機Administrator的權限,目前正準備將權限透過AD給拿掉,不過目前碰到一個問題是某些User在當初Administrator權限下建立的檔案或是資料在權限拿掉後會無法存取,某些User卻又正常?
例:
1.王小明在之前有權限時建立的Outlook pst檔在權限拿掉之後會出現無法存取的訊息。
2.王小明在之前有權限時建立的Excel、Word等文件可以開啟,卻無法修改或刪除。
即使把出問題的檔案在安全性權限裡加入該User,並給予權限亦會發生"權限不足、無法存取"的訊息。
目前做法是幫出問題的User在C、D槽裡加入可修改、刪除的權限。
目前問題是,在不一個一個把C、D槽的修改權限加回的前提之下,有無方法透過AD下Policy來解決這個問題?
已邀請的邦友 {{ invite_list.length }}/5
有權限時建立的Outlook pst檔在權限拿掉之後會出現無法存取的訊息
請檢查pst檔的存取權限
有權限時建立的Excel、Word等文件可以開啟,卻無法修改或刪除
也請再次檢查目前對以前新增 修改過的檔案權限
即使把出問題的檔案在安全性權限裡加入該User
安全性權限有選取哪些權限?
在不一個一個把C、D槽的修改權限加回的前提之下,有無方法透過AD下Policy來解決這個問題?
樓主的問題是因為檔案的安全性屬性已經不同
透過gpo只能提升每位使用者在本機的基本屬性
如果user電腦的檔案已經不允許domain user進行編輯
那麼還是只能將user帳號提升到本機的administrators 群組裡面
才有權限進行對檔案的修改功能
Q:即使把出問題的檔案在安全性權限裡加入該User
安全性權限有選取哪些權限?
A**:目前某些檔案即使把完全控制權給該User亦無法存取,pst檔最常見。**
Q:在不一個一個把C、D槽的修改權限加回的前提之下,有無方法透過AD下Policy來解決這個問題?
樓主的問題是因為檔案的安全性屬性已經不同
透過gpo只能提升每位使用者在本機的基本屬性
如果user電腦的檔案已經不允許domain user進行編輯
那麼還是只能將user帳號提升到本機的administrators 群組裡面
才有權限進行對檔案的修改功能
A:正常情況之下的Domain User都可以存取其建立的檔案,因為它是檔案的建立者(不知道有沒有錯?)。
目前有少數User即使是把該檔案加入該Domain User也會出現無法存取修改的訊息,
所以目前做法是直接在C、D槽裡將該Domain User加入到可修改的權限。
Q:目前某些檔案即使把完全控制權給該User亦無法存取,pst檔最常見
A: 有圖可以看一下嗎?
Q:正常情況之下的Domain User都可以存取其建立的檔案,因為它是檔案的建立者?
這是對的
Q:目前有少數User即使是把該檔案加入該Domain User也會出現無法存取修改的訊息
A:應該回過頭來說 你的使用者對於已經發生問題的檔案 當下還有哪些權限上的功能
例如 我對a檔案 原本有完整功能 但是目前檔案異常我不能編輯
那麼就要看當下我對這個檔案還有哪些權限屬性
所以才會擷圖給樓主再次確認目前使用者對於有問題的檔案有哪些能力存在
所以目前做法是直接在C、D槽裡將該Domain User加入到可修改的權限。
這個做法是正確的
從這個部分看來 你的有問題使用者 對於原本檔案的權限屬性已經不同了
這案例我碰過2次
一次是使用者電腦中毒 修改了所有檔案屬性
一次是使用者硬碟快掛點了 造成硬碟所有的檔案安全性全部消失
正常情況之下的Domain User都可以存取其建立的檔案,因為它是檔案的建立者
擁有者
所以你可以檢查一下擁有者是否是USER本身
請教一下USER們使用的OS是?
目前的公司使用的作業系統是XP。
Q:目前某些檔案即使把完全控制權給該User亦無法存取,pst檔最常見
A: 有圖可以看一下嗎?
A:目前是先把Policy下在某幾個部門做測試,出問題的User已都將C、D權限加入,所以沒有圖片了@@
Q:正常情況之下的Domain User都可以存取其建立的檔案,因為它是檔案的建立者?
這是對的
Q:目前有少數User即使是把該檔案加入該Domain User也會出現無法存取修改的訊息
A:應該回過頭來說 你的使用者對於已經發生問題的檔案 當下還有哪些權限上的功能
例如 我對a檔案 原本有完整功能 但是目前檔案異常我不能編輯
那麼就要看當下我對這個檔案還有哪些權限屬性
所以才會擷圖給樓主再次確認目前使用者對於有問題的檔案有哪些能力存在
A:印象中當下應該是沒有任何權限,即便把該檔案權限加回給User(完全控制)亦會發生無法存取的情況,只好把C、D槽權限開給User囉。
有無方法透過AD下Policy來解決這個問題?
不行(據我所知)
我會建議:
1.先用設定檔轉移的方式重建網域用戶設定檔,有免費軟體,轉移後資料很完整
官網:http://www.forensit.com/index.html
User Profile Wizard 3.6
Download User Profile Wizard 3.6 Personal Edition for Windows XP/Vista/Windows 7
將既有的使用者設定檔遷移到另個帳號
Transwiz
將既有的使用者設定檔轉移到別的電腦或新的帳號,他會另存為一個zip檔
2.個人設定檔以外的資料:原始檔案統一置放到一個位置讓用戶另存,存完當時就會重新建立該USER權限了,限期幾日後刪除該位置
依我作法,搭配GPO,已經設定用戶檔案都在特定位置,只要個人設定檔轉移好,幾乎完成九成工作
另外把PST複製過去就完成了
iThome鐵人賽
看影片追技術