我们有很长一段时间全职员工通过远程桌面连接到她的办公室(Win7或Win8,不完全记得)的机器,这将工作24×7的全天候工作。 我们认为会有风险,家里的电脑可能会被病毒感染,或者孩子/客人可以访问,然后通过办公桌面访问内部服务/服务器,并损坏保存的信息。
尽pipe用户都在Active Directory中进行了描述,但是networking共享在所有服务器(服务器在域中,但是共享文件夹的ACL在本地创build,而不是AD推送)在本地进行pipe理。 从历史上看,有相当多的服务器产生了累积的信息,而且用户是多个用户组的成员,通过个人和群组获得她的许可。
现在我们要保持自己的个人资料和她在办公桌面上的所有工作环境,想要保持本地pipe理权限(软件开发,包括安装和卸载帮手应用程序,pipe理她PC上的共享文件夹等),要她能够研究旧文件多年积累的信息。 但是不能修改它们。 至less不是没有一些精心策划的规避活动(我们害怕被忽视而不是恶意)。
一种方法是将她的用户帐户从NT域用户转换为本地用户。 但是这样她所有的networking访问权限将被无条件地删除。
另一种方法是繁琐地枚举所有服务器和所有共享,然后在该用户的每个服务器上添加NTFS“拒绝写入”权限。 这是乏味的,这是脆弱的(将来创build/调整任何新的共享文件夹,将分享给她的一些用户组,将隐式地访问她)。
所以我认为,也许AD或组策略有自己的用户粒度拒绝SMB写入规则? 我们是否可以在AD和她目前所在的所有用户组中保留自己的个人资料,但是通过向她的帐户添加一些个人规则覆盖所有当前和未来的共享文件夹访问权限,以强制它们全部被读取?
与访问除白名单文件夹之外的共享SMB文件夹时的“user xxx @ domainyyy”类似,应拒绝所有写入,而不pipe在服务器本地为其用户组设置了哪个共享权限。
NT域或GPO中是否有这样的function?
安排她不能将RDP从她的办公室桌面转移到另一台networking机器,然后将相同的拒绝SMB写入规则固定到她的桌面帐户,而不是用户帐户也可以。
域控制器是Windows 2003,文件服务器是2003或2008或2008r2
“NT域或GPO中是否有这样的function?” 答案是不。
为了实现这个目标:你应该在所有服务器上使用GPO来设置ntfs和共享权限。 我不会解释如何,networking充满了如何做到这一点。
然后,有经验的pipe理员可以build立一个模板,使一个名为“GoodGuysFromOutsideThatMightHelpBadGuys”的组始终预设ntfs并通过gpo在新创build的共享上拒绝共享。