存放家庭目录Windows Server 2008 R2的根共享的NTFS权限

我正在使用“ AD配置文件”选项卡在处自动创建家庭目录\\server\home，以便自动创建权限。

对于在（\\server\home）中创建主目录的实际文件夹，NTFS权限应该是什么？

另外，共享权限始终是所有人::完全访问权限，因为我使用NTFS权限控制实际访问权限；那是正确的方法吗？

这是我的收藏夹中可供参考的内容：

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• 创建者所有者-完全控制（仅适用于：子文件夹和文件）
• 系统-完全控制（应用于：此文件夹，子文件夹和文件）
• 域管理员-完全控制（应用于：此文件夹，子文件夹和文件）
• 所有人-创建文件夹/附加数据（应用于：仅此文件夹）
• 每个人-列出文件夹/读取数据（应用于：仅此文件夹）
• 所有人-读取属性（仅应用于：此文件夹）
• 每个人-遍历文件夹/执行文件（应用于：仅此文件夹）

它还建议将共享权限设置为：

• 所有人-完全掌控

它记录在这里：

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

而且，您必须进一步编辑ACE for Authenticated Users，以便它仅适用于“仅此文件夹”。

扩展@Dan的答案...

同意创作者所有者，但我从未向用户授予FC。这使他们可以设置自己的DACL，以我的经验，当奇数高级用户（在ar $ e中读为“ pain”）中的权限删除了SYSTEM的权限，从而使您无法备份文件时，这会给世界带来很大的痛苦。 ，通常将数据用户限制为“修改”（以老式的说法）。

系统：FC，是的。

域管理员：不。指定服务器的本地管理员组。

大家：为什么？个人不会使用“所有人”，因为它包括未经身份验证的用户。

共享权限-同意。它们仅用于混淆访问查询。

我同意最好在NTFS级别而不是在共享级别控制访问，但是无论您是否授予他们“完全控制”权限，用户始终可以对他们创建的文件设置权限，因为他们是所有者。

如果要阻止他们甚至更改它们拥有的对象的权限，请对共享更改权限（对于所有人），而不要更改为“完全”。

然后，您也可以在他们自己的主目录中给他们Full（NTFS），这样就可以很清楚了。