声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

       一般用户是domain user权限,现在设置的策略是,每个硬盘分区的权限下只有administrator@domain,和user@domain可以读写,遇到一个问题是,遇到用户离职机器配给新用户,新用户的权限就无法把旧用户的数据删掉现在的做法是手动给新用户添加本地poweruser权限。组策略能不能让d盘添加本地poweruser权限(之前已经被删除了的)
现在有两个疑问:
1,对于这种分区权限的做法,是否有更好的建议?
2,由于手动做工作量较大,能否用域策略将user,在分区的权限下赋予本地poweruser的权限

回答:1,对于这种分区权限的做法,是否有更好的建议?
    您的NTFS设置不是Windows默认的。默认情况下,其他的域用户可以也可以对分获有读、写的权限。我猜想您这样设置是防止其他用户登陆机器,删除指定用户的文件。
如果是这样的话,我建议您用文件重定向将用户文件夹保存在服务器上。
文件夹重定向概述
http://technet.microsoft.com/zh-cn/library/cc732275(WS.10).aspx
2, 由于手动做工作量较大,能否用域策略将user,在分区的权限下赋予本地poweruser的权限。
向大量客户机添加权限,您可以使用以下的方法:
1. 在DC上创建一GPO,链接到计算机OU上。
2. 右击GPO,选择编辑。
3. 打开计算机配置\Windows设置\安全设置\文件设置。

4. 右击文件设置,选择添加文件。

5. 添加C:,给 Domain Users修改与写入的权限。
6. 选择“替换所有带继承权限的子文件夹和文件上的现存权限“

根据我的经验,用组策略添加本地poweruser权限无法实现的。因为在创建组策略时要输入computer\power users,对于不同的机器,您需要更换不同的机器名,这样反而不便。
所以我建议您用组策略给域用户添加权限。
        李宁波 微软全球技术支持中心