Используя настройки групповой политики с пользовательской областью, мы создаем домашнюю папку для новых пользователей на сервере. Эта домашняя папка наследует разрешения «CREATOR OWNER» от корневого домашнего ресурса. Теперь мы хотим создать вторую папку в домашней папке под названием «Сканы». Но мы хотим изменить разрешения этой папки, чтобы пользователь имел полный контроль над вложенными папками и файлами - мы не хотим просто наследовать разрешения «CREATOR OWNER». Проблема в том, что сканер помещает файлы в эту папку и становится владельцем файла, в результате чего пользователь теряет к нему доступ.
Мне любопытно, какие есть идеи, как это сделать?
Думаю, я знаю, какие у меня есть варианты, и ни один из них не является оптимальным. Прежде всего, мне неизвестен элемент предпочтений групповой политики для пользователей, который может устанавливать разрешения для файлов / папок - все они привязаны к компьютеру, что в данном случае не работает. Кроме того, порядок выполнения сценария входа в систему предшествует элементам папки предпочтений групповой политики, для работы которых требуется как минимум 2 объекта групповой политики, и я ненавижу сценарии входа в систему в наши дни.
Таким образом, цель состояла бы в том, чтобы НЕ использовать сценарии входа в систему, использовать один элемент GPO и полностью настроить его во время первого входа в систему (без необходимости дважды входить в систему или ждать обновления GP и т. Д.)
На данный момент единственное решение, которое я могу придумать, - это использование одного объекта групповой политики со сценарием входа в систему для установки разрешений на уровне пользователя. Итак, в конечном итоге, похоже, что лучший способ - просто создать сценарий входа в систему, который создает домашнюю папку, создает папку сканирования, а затем устанавливает разрешения. Но это ТАК уродливо, и это также неприятно, потому что наши объекты групповой политики используют таргетинг на уровне элементов по нескольким различным причинам, а сценарии входа в систему не поддерживают таргетинг на уровне элементов.
Таким образом, цель состояла бы в том, чтобы НЕ использовать сценарии входа в систему, использовать один элемент GPO и полностью настроить его во время первого входа в систему (без необходимости дважды входить в систему или ждать обновления GP и т. Д.)
После долгой личной неразберихи и отсутствия ответа на этот вопрос я пришел к тому, что, по моему мнению, является лучшим из возможных решений, помимо полного сценария входа в систему.
Мне удалось расширить существующий объект групповой политики, который в настоящее время создает как домашнюю папку пользователя, так и папку «Сканирование» в домашней папке пользователя. Затем я добавил сценарий входа в этот объект групповой политики и настроил его так:
Name: %WINDIR%\System32\cmd.exe
Paramaters: /c icacls.exe H:\Scans /grant %USERDOMAIN%\%USERNAME%:(OI)(CI)(IO)(F)
Есть несколько вещей, которые делают это возможным:
К сожалению, он действительно использует сценарий «входа в систему», но он вызывает команду напрямую, вместо того, чтобы создавать файл сценария и запускать его из общего места. И это зависит от второго GPO (который у нас уже был). Это можно было бы объединить в один объект групповой политики, но тогда для завершения потребуется два входа в систему, поскольку карты дисков групповой политики применяются перед папками групповой политики, если они объединены в один и тот же объект групповой политики.
Как только это будет завершено, вот что происходит, когда пользователь входит в систему в первый раз: