最初,在我们的Windows域环境中,所有域用户都是默认的本地工作站的本地pipe理员。 经过一番考虑后,出于安全原因决定将域用户从本地pipe理员组中删除。 为此,他们在GPO中configuration了从pipe理员(内置),DOMAIN \ Administrator和域pipe理员以外的本地pipe理员组中删除所有用户。
一旦他们从本地pipe理员组中删除域用户,用户在启动某个应用程序时就开始面临许可问题,因此应用程序没有特定的权限来读取C:中的configuration文件。
在排查过程中,其中一个系统pipe理员向域用户提供C:(%SystemDrive%)的完整权限。 权限在“ Computer Configuration > Windows Settings > Security Settings > File Systems中进行了configuration,其中域用户被完全控制到%SystemDrive%。 不知道这个政策是否有助于解决问题,也没有人对此作过评论或者说明。 它留在原地。
今天,大约2年后,另一个系统pipe理员,在审查组域策略时注意到了特定的策略设置。 系统pipe理员决定授予%SystemDrive%的域用户完全控制权限在安全angular度是非常危险的,并从该策略中删除了域用户权限条目。 这是问题开始的地方。
删除%SystemDrive%权限设置中的域用户条目后,我们的应用程序遇到问题将文件写入非Windows系统目录(例如C:\ tmp或C:\ msclog)。 在这一点上,显而易见的是,一旦域用户从该策略设置中删除,应用程序就没有权限将任何文件写入非Windows系统目录。 我们担心这可能会进一步传播到Windows系统目录(例如C:\ Windows,C:\ Program Files等),并将在未来导致其他问题。 同时,我们也不能向域用户完全授予C:。
因此,无论如何,我们可以通过GPO将Windows文件/文件夹权限恢复到其原始设置?
你需要在这里做一些事情:
首先,一旦你已经应用GP的安全性改变,就没有回头路了。 删除策略不会删除更改。 在整个系统驱动器中有许多不同的许可权限,所以你几乎可以放弃重新获得库存。 你最好的select是重新塑造你的客户。
其次,在部署像这样的更改之前,您需要validation以标准用户身份运行的应用程序。 我在上一份工作中遇到了同样的问题:所有用户都拥有本地pipe理权限,而且我只把它们全部归为标准用户权限。 这是一个痛苦,是的。 你必须尝试每个应用程序,看看哪些应用程序中断,是的,会有很多写得不好,需要pipe理访问才能正常工作。 对于那些,你可以使用像微软的免费工具Process Monitor这样的程序来查看他们正在尝试访问哪些文件并被阻止。 一旦你知道这一点,你可以使用组策略有select地授予这些文件的访问权限。 我将为每个应用程序创build域组,将文件系统权限授予这些组,然后将您的用户添加到这些组,以便易于pipe理。