Назад | Перейти на главную страницу

Предоставление избранным пользователям домена Windows привилегии символьной ссылки

Я хотел бы настроить избранных пользователей в нашем домене, чтобы они имели возможность создавать символические ссылки на локальных NTFS-дисках и сетевых ресурсах без необходимости запуска от имени администратора, как часть приложения, которое будет вызывать API CreateSymbolicLink () напрямую. Конфигурация по умолчанию для наших пользователей - это быть администратором своего компьютера, и я думаю, что борюсь с UAC, чтобы привилегии работали так, как я хочу, из-за этого. я нашел эта ссылка на MSDN который описывает взаимодействие между SeCreateSymbolicLinkPrivilege, UAC и доменом, но на самом деле не имеет решения. Вот три варианта, которые я придумал:

  1. Создайте новую группу, присвойте группе привилегию SeCreateSymbolicLinkPrivilege и назначьте пользователей в группу.
  2. Дайте каждому отдельному пользователю (2 сейчас, больше позже) привилегию
  3. Предоставьте привилегию группе пользователей по умолчанию, которая открывает ее для всех пользователей
  4. Измените конфигурацию, чтобы пользователи не были администраторами по умолчанию (возможно, сработает, но вряд ли)

Судя по моему тестированию, у меня работает только 3, и это наименее желательно, но у меня есть только локальный сервер для тестирования, а не домен. Мне нужно порекомендовать администратору, как это настроить, а также кое-что, что мы можем легко объяснить другим пользователям нашего приложения, которые находятся в своем собственном домене или не в домене. Другой вариант, по-видимому, заключается в создании службы, которая работает с учетной записью SYSTEM, которая создает ссылки для приложения, но я бы предпочел не идти по этому пути.