Мы используем групповую политику перенаправления папок для размещения пользовательских Мои документы папки в общей сетевой папке.
Мы настроили общий ресурс с рекомендуемыми Microsoft разрешениями NTFS, как определено здесь: https://support.microsoft.com/en-us/help/274443/how-to-dynamically-create-security-enhanced-redirected-folders-by-usin. В частности:
- CREATOR OWNER - Полный доступ (Применяется только к подпапкам и файлам)
- Система - полный доступ (применяется к: этой папке, подпапкам и файлам)
- Администраторы домена - полный доступ (применяется к: этой папке, подпапкам и файлам)
- Все - создать папку / добавить данные (применить только к этой папке)
- Все - список папок / чтение данных (применить только к этой папке)
- Все - чтение атрибутов (применить только к этой папке)
- Все - Просматривать папку / Выполнить файл (Применить только к этой папке)
Однако в этой статье базы знаний также говорится (ключевые моменты выделены жирным шрифтом):
К концу мая 2017 года все поддерживаемые операционные системы преобразовали CREATOR OWNER ACE в:
<Folder-User> - Полный доступ (Применить к: Только этот объект)
Хотя это не влияет на повседневные операции с папками для пользователей, имеет значение, когда администратор должен работать с содержимым домашних папок или перенаправленных папок.
Если вы хотите, чтобы пользователь получил наследуемый полный контроль над всеми дочерними объектами, вам необходимо:
Самостоятельно создайте папку, соответствующую имени пользователя samaccountname. Задайте разрешения, необходимые для папки, опустите все ACE выше и убедитесь, что у вас есть ACE:
<Folder-User> - Полный доступ (Применить к: Эта папка, подпапки и файлы)
Другими словами, если SYSTEM создает подпапку в папке пользователя, пользователь не сможет получить доступ к этой подпапке, потому что он больше не наследует полный контроль над ней, как раньше.
Обходной путь Microsoft для этого заключается в том, чтобы вручную создать корневую папку пользователя и вручную установить разрешения пользователя с необходимой областью.
Есть ли способ автоматизировать это с помощью групповой политики, или сценарии здесь единственный вариант?
Это ожидаемое поведение CREATOR OWNER, и вряд ли когда-либо было иначе; Думаю, что добавление к статье в этом отношении вводит в заблуждение. По моему опыту, обычно это не проблема, потому что обычно вы все равно не хотите добавлять что-либо в папку пользователя. Вероятно, поэтому в оригинальной статье об этом не упоминалось.
Если вы не собираетесь создавать каталог каждого пользователя заранее с явно выбранными разрешениями, то, что касается групповой политики, у вас есть только два варианта: если вы установите параметр «Предоставить пользователю исключительные права», они получат полный доступ к вся папка и ее содержимое, но никто другой этого не делает; если вы его не установите, они получат доступ только к тому контенту, который создали сами.
Если вы выберете первый вариант, вы можете использовать привилегию резервного копирования, чтобы обойти разрешения всякий раз, когда вы хотите добавить контент. Это элегантно, но может быть неудобно, поскольку встроенные инструменты для использования полномочий резервного копирования довольно ограничены.
Если вы выберете второй вариант, вы можете изменить разрешения для папки пользователя перед добавлением содержимого; или вы можете явно установить разрешения для добавляемого контента.
Другой подход (как вы предлагаете) - использовать сценарий входа в систему с групповой политикой для изменения разрешений в папке пользователя при первом входе пользователя в систему. Это может быть наиболее удобным вариантом, если какой-либо процесс, добавляющий содержимое в папку пользователя, не под вашим контролем.