我们在网上找了很长时间才写了这么长的一篇文章,但是我们没有find任何解决scheme,甚至在微软的网站上也没有find任何解决办法。
长话短说了解情况
我们使用Windows Server 2016开始了一个项目,这是我们第一次应用AGDLP模型来configuration共享文件夹。 一切工作正常,除了漫游configuration文件。
对于许可和成本的原因,我们可以只有2个虚拟机可用于Windows Server,一个专用于Active Directory,另一个用于共享和应用程序(用户不需要远程桌面访问,只需运行一个软件,共享文件夹和漫游configuration文件)。 这就排除了我们可以拥有第三台虚拟机来分离软件和共享的事实(不需要购买Windows Server的另一个许可证)。 有两个不同的公司可以访问客户端的服务器,第一个是IT服务(我们),第二个是pipe理需要自己安装和更新软件的特定软件。 但是,我们不希望第三方公司能够看到共享文件夹的内容,即使他们需要成为服务器“内置pipe理员”的成员才能安装该软件,当然也不能访问Active Directory服务器。
我们使用安全组对每个文件夹的ACL进行了configuration(读取,修改,完整),并按照AGDLP上下文中的build议将这些组分配给其他组。 但是,由于上述原因,我们没有添加“BUILTIN Administrators”部分的访问权限,出于安全原因,我们也没有添加“Domain Admins”(域pipe理员组仅用于pipe理Active Directory,所有内容否则有它自己的组)。
一切工作正常,除了“家”目录,我们有用户的漫游configuration文件和redirect的文件夹。 出于安全原因,我们希望只有用户(创build者所有者)和名为“家庭pipe理员”的特定组有权访问。
这个组可以访问configuration文件,但是即使我们是对文件夹和子文件夹拥有完全权限的组的一部分,我们也不能改变文件夹的权限。 看起来我们需要成为“pipe理员”(内build或域)的成员才能修改它。
你有这方面的经验吗? 或者你有什么build议可以帮助我们继续前进?
由于英文不是我们的主要语言,我们希望这个post足够清晰。 如果不是,如果你需要更多的信息,请告诉我们。
非常感谢您的时间和帮助:-)