Аспекты безопасности при настройке перемещаемых профилей пользователей
Создавая общий каталог для перемещаемых профилей, выдавайте доступ только тем пользователям, которым он необходим
Поскольку перемещаемые профили содержат документы пользователя, сертификаты EFS и другую персональную информацию, необходимо как можно надежнее защитить пользовательские данные. Ниже излагается общий подход:
- Доступ к общему ресурсу должны иметь только те пользователи, которым он необходим. Создавайте группу безопасности для пользователей, чьи профили хранятся в определенном общем каталоге, и предоставляйте доступ к данному каталогу лишь этой группе.
- Скрывайте создаваемый общий ресурс, ставя символ $ в конце имени папки. Это скроет общий каталог от случайного просмотра, сделав его невидимым в сетевом окружении.
- Давайте возможность системе создать папки для пользователей. Предварительное создание папок имеет смысл лишь в том случае, если Вам нужно установить для них особые разрешения.
- Давайте пользователям лишь необходимые разрешения. Минимальные требования к разрешениям приведены в таблицах ниже.
Таблица 3. Разрешения NTFS для родительской папки перемещаемых профилей.
Учетная запись | Минимальные требования к разрешениям |
---|---|
Создатель/Владелец | Полный доступ (только подпапки и файлы) |
Администраторы | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Содержание папки/Чтение данных, Создание папок/Дозапись данных (только эта папка) |
Все | Разрешения отсутствуют |
Локальная система (SYSTEM) | Полный доступ (эта папка, подпапки и файлы) |
Таблица 4. Разрешения на общий доступ (SMB) к каталогу, хранящему перемещаемые профили.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
---|---|---|
Все | Полный доступ | Разрешения отсутствуют |
Группа безопасности пользователей, чьи данные будут храниться на сервере | Неприменимо | Полный доступ |
Таблица 5. Разрешения NTFS для папок, в которых хранятся индивидуальные профили пользователей.
Учетная запись | Разрешения по умолчанию | Минимальные требования к разрешениям |
---|---|---|
%Username% | Полный доступ (владелец папки) | Полный доступ (владелец папки) |
Локальная система (SYSTEM) | Полный доступ | Полный доступ |
Администраторы | Разрешения отсутствуют * | Разрешения отсутствуют |
Все | Разрешения отсутствуют | Разрешения отсутствуют |
*Если только не установлена политика "Добавлять группу администраторов для перемещаемых профилей пользователя" (“Add the Administrator security group to the roaming user profile share”), что дает группе Администраторы полный доступ (требуется Windows 2000 Service Pack 2 или новее).