Pengamatan pertama: Setiap kali Anda memblokir warisan Anda memotong diri Anda dari fleksibilitas masa depan. Saya menghindari pemblokiran warisan dengan cara apa pun.
Jika Anda memerlukan pengguna untuk dapat membuat daftar isi folder "E: \ Home Directories" tingkat atas, misalnya, pertimbangkan izin berikut:
- SISTEM - Kontrol Penuh - Diterapkan ke folder ini, sub-folder, dan file
- BUILTIN \ Administrator - Kontrol Penuh - Diterapkan ke folder ini, sub-folder, dan file
- BUILTIN \ Pengguna yang Diautentikasi - Baca dan Jalankan - Hanya berlaku untuk folder ini
Izin terakhir tidak diwariskan ke dalam subfolder. Di setiap subfolder, warisan tetap diaktifkan dan Anda cukup menentukan pengguna dengan hak "Modifikasi" atau "Kontrol Penuh" (tergantung pada bagaimana perasaan Anda tentang pengguna yang dapat mengatur izin di dalam direktori home mereka). (Biasanya saya menetapkan izin terakhir dengan menambahkan "Pengguna yang Diotentikasi" di lembar properti Keamanan non-"Advanced", hapus centang pada kotak centang "Baca" dan "Baca dan Jalankan". Saya kemudian melanjutkan ke dialog "Lanjutan" dan mengubah Pengaturan "Terapkan ke" untuk ACE itu untuk "Hanya folder ini". Itu tentang cara termudah, dalam hal jumlah klik, untuk mengaturnya.)
Kemudian, skrip Anda menjadi:
set /p userDir=Enter the login of the user's directory you're modifying permissions for. (i.e. jDoe)
TAKEOWN /f "E:\Home Directories\%userDir%" /r /d y
ICACLS "E:\Home Directories\%userDir%" /reset /T
ICACLS "E:\Home Directories\%userDir%" /grant:r "MYDOMAIN\%userDir%":(OI)(CI)F
ICACLS "E:\Home Directories\%userDir%" /setowner "MYDOMAIN\%userDir%" /T
Saya sangat curiga bahwa penambahan izin "Pengguna yang Diotentikasi" yang telah saya jelaskan di atas dengan pewarisan yang diatur ke "Hanya folder ini" akan memberi Anda apa yang Anda cari dalam fungsionalitas dan akan memberi Anda fleksibilitas di masa mendatang jika Anda mengetahuinya. Anda harus menetapkan izin yang mungkin perlu diwariskan ke semua direktori home pengguna di masa mendatang.
Ini adalah SOP saya untuk direktori home user, diarahkan kembali "My Documents", "Desktop", folder dll, dan untuk roaming direktori profil pengguna. Ini bekerja dengan baik.
Edit
re: komentar Anda tentang akses BUILTIN \ Administrator
Saya memiliki berbagai argumen dengan orang-orang tentang pendapat saya tentang pemberian akses BUILTIN \ Administrator selama bertahun-tahun, dan pendapat saya adalah ini:
Lebih mudah untuk memecahkan masalah kelas pengguna tertentu jika Anda dapat membuka file mereka. Sungguh menyakitkan untuk "mengambil kepemilikan" dan bisa sangat lambat jika ada banyak file juga.
Seperti yang Anda lihat dengan ICACLS, BUILTIN \ Administrator dapat "menetapkan" kepemilikan (selain "mengambilnya") sehingga tidak ada "keamanan" yang ditambahkan dengan tidak memiliki file yang dapat diakses oleh BUILTIN \ Administrator.
Kecuali jika Anda menggunakan audit (dan memilah-milah entri palsu-positif yang berpotensi besar) tidak akan ada jejak audit ketika pengguna BUILTIN \ Administrator mengambil kepemilikan file yang seharusnya tidak dapat diakses, menyalinnya, lalu mengembalikan file kembali ke pemilik dan izin "semestinya".
Di dunia Microsoft, Encrypting filesystem (EFS) dimaksudkan untuk menyelesaikan masalah menjaga akses BUILTIN \ Administrator yang tidak sah terjadi. ACL NTFS tidak memecahkan masalah itu. (Jelas, EFS bukan satu-satunya acara di kota. Enkripsi adalah jawaban nyata untuk memecahkan masalah "membatasi akses administrator jaringan" tidak peduli bagaimana Anda mengirisnya.)
Menurut saya, tidak menentukan BUILTIN \ Administrator dengan akses ke direktori home user (dan, pada kenyataannya, folder apa pun) berarti bahwa Anda meningkatkan kompleksitas dan waktu yang diperlukan untuk menyelesaikan masalah sambil memberikan kurang dari tidak ada keamanan nyata ("kurang dari tidak ada "Karena itu menanamkan rasa aman palsu di mana tidak ada).
Saya sudah menyerah untuk memenangkan pertengkaran dengan orang-orang melalui logika. Tampaknya menjadi masalah emosional dengan beberapa orang. Ini seperti ACE konyol "Tolak / Terima Sebagai" yang ditempatkan di akar organisasi Exchange untuk mencegah kelompok istimewa tertentu dari membuka kotak pesan pengguna. Ini tidak menawarkan keamanan nyata (karena tanpa audit seseorang dapat menghapus / menerapkan kembali ACE seperlunya), rasa aman yang salah, dan menghalangi ketika memecahkan masalah nyata.
Bahkan jika Anda tidak menyukai argumen saya tentang BUILTIN \ Administrator yang memiliki akses, Anda ingin menjaga hierarki warisan tetap utuh dengan menggunakan warisan "Folder ini saja" jika diperlukan. Memblokir warisan dalam hierarki izin adalah tanda pasti bahwa sesuatu tentang desain "rusak" (terbalik, dll.).