Мы хотели бы, чтобы служба поддержки отвечала за создание домашних папок пользователей вместо нашей поддержки 2-го уровня. Глобальная группа службы поддержки уже является оператором учетной записи, поэтому в Active Directory они могут легко редактировать все атрибуты пользователя.
Проблема состоит в том, чтобы определить минимальный уровень разрешений, необходимых на файловом сервере для создания домашнего общего ресурса, без предоставления им доступа ко всем домашним ресурсам.
Поэтому, если они открывают «Пользователи и компьютер AD», открывают свойства для пользователя и вводят \ home \ users \% username% на вкладке профиля, а затем нажимают «ОК», они получают следующую ошибку.
Домашняя папка \ home \ users \ username не была создана, потому что у вас нет прав на создание на сервере. Учетная запись пользователя была обновлена с использованием нового значения домашней папки, но вы должны создать каталог вручную после получения необходимых прав доступа.
Прямо сейчас я предоставил группе Helpdesk полный доступ только к корневой папке (без файлов или подкаталогов)
Каталог фактически создан, но разрешения для вновь созданной папки показывают только полный контроль администраторов, а не разрешения для настроенной учетной записи пользователя.
Похоже, что мне пришлось бы назначить администраторов службы поддержки на файловых серверах локальными администраторами, чего я бы хотел избежать. Тем более, что файловые серверы представляют собой большой кластер, на котором размещается гораздо больше, чем вся структура домашних ресурсов организации.
Похоже, это разрешения для общего доступа.
Они также должны иметь полный доступ, а не просто чтение и запись.
Я действительно не хотел предоставлять полный доступ даже корневой папке, так как он позволяет им делать больше, чем я действительно хочу, чтобы они могли делать. Но пока они не могут открывать домашние каталоги других людей, все должно быть в порядке.
Вы можете использовать пакетный скрипт, написанный с CPAU. Этот инструмент в основном похож на «runas», за исключением того, что есть возможность передать пароль для привилегированной учетной записи в «закодированной» форме (то есть трудно читать, но не зашифровано).
Сценарий будет размещен в корне общего ресурса, и служба поддержки должна будет запустить сценарий с таким параметром, как «имя пользователя». Инструмент CPAU будет запускать создание папки в контексте с повышенными правами (возможно, при локальном входе в систему с разрешениями на изменение в папке HomeDirs).
И так далее. Чтобы выровнять своих уток с этим, нужно немного подумать.