Мы долго искали в Интернете, прежде чем написать этот длинный пост, но не нашли решения для этого конкретного случая даже на веб-сайте Microsoft.
Длинная история для понимания контекста
Мы начали проект с Windows Server 2016, и это первый раз, когда мы применяем модель AGDLP для настройки общих папок. Все работает нормально, кроме перемещаемых профилей.
По причинам лицензирования и затрат у нас может быть только 2 виртуальные машины, доступные с Windows Server: одна предназначена для Active Directory, вторая - для общих ресурсов и приложений (нет доступа к удаленному рабочему столу для пользователей, только запущенное программное обеспечение и общие папки для документов. и перемещаемые профили). Это исключает тот факт, что у нас может быть третья виртуальная машина для разделения программного обеспечения и общих ресурсов (без покупки другой лицензии Windows Server). Есть две разные компании, которые могут получить доступ к серверу клиента: первая как ИТ-услуги (мы), а вторая - для управления определенным программным обеспечением, которому необходимо установить и обновить программное обеспечение самостоятельно. Однако мы не хотим, чтобы третья компания могла видеть содержимое общих папок, даже если они должны быть членами «встроенных администраторов» сервера, чтобы иметь возможность устанавливать программное обеспечение, и, конечно же, без доступа к сервер Active Directory.
Мы настроили ACL каждой папки с группами безопасности (чтение, изменение, полное) и назначили группы другим группам, как это рекомендуется в контексте AGDLP. Однако мы не добавили часть доступа «BUILTIN Administrators» по причинам, указанным выше, и по соображениям безопасности мы не добавили ни «Domain Admins» (группа администраторов домена зарезервирована только для администрирования Active Directory, все остальное есть своя группа).
Все работает нормально, кроме каталога «Homes», где у нас есть перемещаемые профили пользователей и перенаправленные папки. По соображениям безопасности мы хотели бы, чтобы доступ имел только пользователь (Владелец-создатель) и определенная группа под названием «Администраторы дома».
Эта группа может получить доступ к профилям, НО мы не можем изменить права папки внутри, даже если мы являемся частью группы, которая имеет полные права на папку и подпапки. Похоже, что нам нужно быть членом «Администраторов» (встроенных или доменных), чтобы иметь возможность изменять его.
У вас есть опыт в этой ситуации? или у вас есть предложения, которые помогут нам двигаться дальше?
Поскольку английский не является нашим основным языком, мы надеемся, что этот пост достаточно ясен. Если вам нужна дополнительная информация, пожалуйста, сообщите нам.
Большое спасибо за ваше время и помощь :-)