Я хочу создать пользователя, единственная цель которого - чтобы сетевые копировальные устройства могли сканировать в определенную папку (скажем, E:\Data\scan, поделился как \\server\scan, к которому другие пользователи будут иметь доступ rw). Пользователь сканера не сможет делать ничего, кроме сканирования в эту конкретную папку.
Я мог бы просто создать обычного пользователя домена или компьютера и установить соответствующие разрешения, но я хотел бы знать, каковы лучшие практики. Для всех намерений и целей все, что я ищу, - это учетные данные для копировальных аппаратов, чтобы иметь возможность писать в эту общую папку; все остальное, что могут делать пользователи, профиль пользователя и т. д., не представляет интереса.
Я хотел бы знать, следует ли мне добавить пользователя в какую-либо из множества доступных групп.
Я хотел бы знать, есть ли способ отключить доступ этого пользователя к чему-либо, кроме папки сканирования, то есть пользователь не сможет даже запускать программы или видеть любую другую часть файловой системы, а также физически входить на сервер (что-то похожее на «гостевую» учетную запись на настольной Windows тоже подойдет).
Это очень маленькая офисная сеть.
Я мог бы создать обычного пользователя домена или компьютера и установить соответствующие разрешения, но при создании пользователя на Windows Server существует так много вариантов, что я хотел бы знать, что лучше всего.
Я не знаю, о каких вариантах вы говорите, но на самом деле это несложное мероприятие.
Создайте учетную запись пользователя. Предоставьте учетной записи пользователя соответствующие разрешения общего доступа и NTFS для общей папки сканирования. Настройте сканер на использование этой учетной записи.
На самом деле это не сложнее. Так все делают.
Это будет означать, что этот пользователь сканера может войти в систему где угодно. Если кто-то вычислил его пароль, то есть. В качестве усовершенствования я предлагаю вам разрешить этой учетной записи только для входа на целевую машину сканирования - вот как мы ее используем.