Permissões NTFS para compartilhamento raiz que hospeda diretórios base Windows Server 2008 R2

Estou usando a guia Perfil do AD para criar diretórios \\server\homepessoais automaticamente em , para que as permissões sejam criadas automaticamente.

Quais devem ser as permissões NTFS para a pasta real na qual os diretórios pessoais são criados ( \\server\home)?

Além disso, as permissões de compartilhamento são sempre Todos: acesso total, pois eu controlo o acesso real com permissões NTFS; esse é o método correto?

Isto é o que tenho nos meus favoritos para referência:

http://blogs.technet.com/b/migreene/archive/2008/03/24/3019467.aspx

• PROPRIETÁRIO CRIADOR - Controle total (Aplicar em: Apenas subpastas e arquivos)
• Sistema - Controle total (Aplicar em: esta pasta, subpastas e arquivos)
• Administradores de domínio - controle total (Aplicar em: esta pasta, subpastas e arquivos)
• Todos - Criar pasta / anexar dados (Aplicar a: somente esta pasta)
• Todos - Listar dados da pasta / leitura (aplicar a: somente esta pasta)
• Todos - Atributos de leitura (Aplicar a: somente esta pasta)
• Todos - Atravessar pasta / executar arquivo (aplicar a: somente esta pasta)

Também recomenda definir permissões de compartilhamento como:

• Todos - Controle total

Está documentado aqui:

https://blogs.technet.com/b/askds/archive/2008/06/30/automatic-creation-of-user-folders-for-home-roaming-profile-and-redirected-folders.aspx

Administrators: Full Control  
System: Full Control  
Creator Owner: Full Control  
Authenticated Users: Read & Execute, List Folder Contents, Read  

E você deve editar ainda mais o ACE para usuários autenticados para que ele se aplique somente a esta pasta.

Expandindo a resposta de @ Dan ...

Concordo com o proprietário do criador, mas nunca concedo o FC aos usuários. Isso permite que eles definam suas próprias DACLs, o que, na minha experiência, traz um mundo de dor, quando o usuário avançado estranho (ler "dor no ar $ e) remove as permissões do SYSTEM, impedindo o backup dos arquivos. , normalmente limita o usuário dos dados a Modificar (alteração na linguagem da velha escola).

SISTEMA: FC, sim.

Administradores de domínio: não. Especifique o grupo de administradores locais do servidor.

Todos: por quê? Pessoalmente, nunca usaria "Todos" de qualquer maneira, pois inclui usuários não autenticados.

Compartilhe permissões - concorde. Eles servem apenas para confundir consultas de acesso.

Concordo que é melhor controlar o acesso no nível NTFS do que no nível de compartilhamento, mas, independentemente de você conceder a eles Controle Total, os usuários sempre poderão definir permissões nos arquivos criados por serem proprietários.

Se você deseja impedi-los de alterar as permissões, mesmo em objetos de sua propriedade, faça as permissões no compartilhamento Alterar (para todos) em vez de Completo.

Em seguida, você também pode fornecer a eles NTFS (Full) em seu próprio diretório pessoal, para que fique óbvio o que está acontecendo.