syncing tree with SAMBA_3_0
[Samba.git] / docs / docbook / smbdotconf / protocol / profileacls.xml
blob505f371809247f120d1995a83e7d52ff776a2d21
1 <samba:parameter name="profile acls"
2                  context="S"
3                  advanced="1" wizard="1"
4                  xmlns:samba="http://samba.org/common">
5 <listitem>
6     <para>This boolean parameter controls whether <citerefentry><refentrytitle>smbd</refentrytitle>                                       
7     <manvolnum>8</manvolnum></citerefentry> 
8         This boolean parameter was added to fix the problems that people have been
9         having with storing user profiles on Samba shares from Windows 2000 or
10         Windows XP clients. New versions of Windows 2000 or Windows XP service
11         packs do security ACL checking on the owner and ability to write of the
12         profile directory stored on a local workstation when copied from a Samba
13         share.
14 </para>
16 <para>When not in domain mode with winbindd then the security info copied
17         onto the local workstation has no meaning to the logged in user (SID) on
18         that workstation so the profile storing fails. Adding this parameter
19         onto a share used for profile storage changes two things about the
20         returned Windows ACL. Firstly it changes the owner and group owner
21         of all reported files and directories to be BUILTIN\\Administrators,
22         BUILTIN\\Users respectively (SIDs S-1-5-32-544, S-1-5-32-545). Secondly
23         it adds an ACE entry of "Full Control" to the SID BUILTIN\\Users to
24         every returned ACL. This will allow any Windows 2000 or XP workstation
25         user to access the profile.</para>
26         
27         <para>Note that if you have multiple users logging
28         on to a workstation then in order to prevent them from being able to access
29         each others profiles you must remove the "Bypass traverse checking" advanced
30         user right. This will prevent access to other users profile directories as
31         the top level profile directory (named after the user) is created by the
32         workstation profile code and has an ACL restricting entry to the directory
33         tree to the owning user.
34 </para>
36     <para>Default: <command moreinfo="none">profile acls = no</command></para>
37 </listitem>
38 </samba:parameter>