У нас есть давний штатный сотрудник, который работает из дома через подключение к удаленному рабочему столу со своим офисным компьютером (Win7 или Win8, не совсем припоминаю), который будет работать на нем круглосуточно. Мы думаем, что существует риск того, что ее домашний компьютер может быть заражен вирусами или дети / гости могут получить к нему доступ, а затем через рабочий стол офиса получить доступ к внутренним службам / серверам и повредить хранимую информацию.
В то время как все пользователи описаны в Active Directory, общие сетевые ресурсы администрируются локально на всех серверах (серверы находятся в домене, но списки управления доступом к их общим папкам создаются локально, а не отправляются через AD). Исторически возникло довольно много серверов с накопленной информацией, и пользователь входит в несколько групп пользователей, получая свои права как индивидуально, так и через группы.
Теперь мы хотим сохранить ее профиль и всю рабочую среду, которую она создала на своем рабочем столе в офисе, хотим сохранить ее права локального администрирования (разработка программного обеспечения, включая установку и удаление вспомогательных приложений, управление общими папками на ее ПК и т. Д.), Хотим, чтобы она чтобы иметь возможность исследовать старые файлы по информации, накопленной годами. Но не иметь возможности их изменять. По крайней мере, без некоторых тщательно спланированных действий по обходу (мы боимся пренебрежения, а не недоброжелательства).
Один из способов - преобразовать ее учетную запись пользователя из домена NT в локального пользователя. Но в этом случае ВСЕ ее разрешения на доступ к сети будут безоговорочно удалены.
Другой способ - утомительно перечислить все серверы и все общие ресурсы на них, а затем добавить NTFS-права «запретить запись» для каждого из них для этого пользователя. Это утомительно и хрупко (любая новая общая папка, созданная / настроенная в будущем, которая будет доступна некоторым из ее групп пользователей, будет неявно доступна для нее).
Итак, я думаю, что, возможно, AD или групповые политики имеют свои собственные правила запрета записи SMB на уровне пользователя? Можем ли мы сохранить ее профиль в AD и во всех группах пользователей, в которых она сейчас находится, но добавив в ее учетную запись какого-то личного правила, переопределившего все текущие и будущие разрешения на доступ к общим папкам, чтобы все они были доступны только для чтения?
Например, «пользователю xxx @ domainyyy при доступе к общим папкам SMB, отличным от (папок из белого списка), должна быть запрещена вся запись, независимо от того, какие права доступа для общего ресурса были установлены для его или ее групп пользователей локально на серверах».
Есть ли такая функция в домене NT или объектах групповой политики?
Было бы неплохо сделать так, чтобы она не могла выполнять RDP с этого рабочего стола своего офиса на другие сетевые машины, а затем привязать то же правило запрета SMB-записи к своей учетной записи рабочего стола, а не к учетной записи пользователя.
Контроллеры домена - Windows 2003, файловые серверы - 2003 или 2008 или 2008r2
«Есть ли такая функция в домене NT или объектах групповой политики?» Ответ - нет.
Для достижения этой цели: Вы должны установить ntfs и разрешить общий доступ с помощью GPO на всех серверах. Я не буду объяснять, как это сделать, в сети полно инструкций по этому поводу.
Затем опытный администратор может создать шаблон, чтобы группа под названием «GoodGuysFromOutsideThatMightHelpBadGuys» всегда настраивала ntfs и запрещала совместное использование для вновь созданных общих ресурсов через gpo.