Permisos NTFS para el recurso compartido raíz que aloja los directorios principales Windows Server 2008 R2

Estoy usando la pestaña Perfil de AD para crear automáticamente directorios principales en \\server\home, de modo que los permisos se creen automáticamente.

¿Cuáles deberían ser los permisos NTFS para la carpeta real en la que se crean los directorios principales ( \\server\home)?

Además, los permisos de compartir son siempre Todos :: Acceso completo ya que controlo el acceso real con permisos NTFS; ¿Es ese el método correcto?

Esto es lo que tengo en mis favoritos para referencia:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• PROPIETARIO DEL CREADOR - Control total (Aplicar en: subcarpetas y archivos solamente)
• Sistema - Control total (Aplicar sobre: ​​esta carpeta, subcarpetas y archivos)
• Administradores de dominio - Control total (Aplicar en: esta carpeta, subcarpetas y archivos)
• Todos - Crear carpeta / Anexar datos (Aplicar en: solo esta carpeta)
• Todos - Listar carpeta / Leer datos (Aplicar en: esta carpeta solamente)
• Todos: atributos de lectura (Aplicar en: esta carpeta solamente)
• Todos - Carpeta transversal / Archivo de ejecución (Aplicar en: esta carpeta solamente)

También recomienda establecer permisos para compartir como:

• Todos - Control total

Está documentado aquí:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

Y debe editar aún más el ACE para usuarios autenticados para que solo se aplique a esta carpeta solamente.

Ampliando la respuesta de @ Dan ...

De acuerdo Creador propietario, pero nunca concedo FC a los usuarios Esto les permite establecer sus propias DACL, lo que, en mi experiencia, trae un mundo de dolor, cuando el extraño usuario avanzado (lea "dolor en el ar $ e) elimina los permisos para SYSTEM, lo que le impide realizar copias de seguridad de sus archivos. , normalmente limita al usuario de los datos a Modificar (cambio en el lenguaje de la vieja escuela).

SISTEMA: FC, sí.

Administradores de dominio: no. Especifique el grupo de administradores locales del servidor.

Todos: ¿Por qué? Personalmente, nunca usaría "Todos" de todos modos, ya que incluye usuarios no autenticados.

Permisos para compartir: de acuerdo. Solo sirven para confundir las consultas de acceso.

Estoy de acuerdo en que es mejor controlar el acceso en el nivel NTFS en lugar del nivel compartido, pero independientemente de si les da el Control total, los usuarios siempre podrán establecer permisos en los archivos que crean porque ellos son los propietarios.

Si desea evitar que cambien los permisos incluso en los objetos que posee, haga que los permisos en el recurso compartido Cambie (para Todos) en lugar de Completo.

Entonces también podría darles Full (NTFS) en su propio directorio de inicio, por lo que es obvio lo que está sucediendo.