Windows

限制 NT 域/AD 使用者或桌面對所有共享文件夾的只讀訪問

  • May 31, 2017

我們有很長時間的全職員工通過遠端桌面連接到她的辦公室(Win7 或 Win8,不太記得)機器在家工作,該機器可以 24x7 全天候工作。我們認為會有風險,她的​​家用電腦可能會被病毒感染,或者孩子/客人可以訪問它,然後通過她的辦公室桌面訪問內部服務/伺服器並損壞保存的資訊。

雖然使用者都在 Active Directory 中進行了描述,但網路共享是在所有伺服器上本地管理的(伺服器在域中,但其共享文件夾的 ACL 是本地創建的,而不是 AD 推送的)。歷史上誕生了相當多的具有累積資訊的伺服器,並且使用者是多個使用者組的成員,通過單獨和通過組獲得她的權限。

現在我們想要保留她的個人資料和她在辦公室桌面上創建的所有工作環境,想要保留她的本地管理權限(軟體開發,包括安裝和解除安裝幫助應用程序,管理她 PC 上的共享文件夾等),想要她能夠研究舊檔案多年積累的資訊。但不能修改它們。至少沒有一些精心策劃的規避活動(我們害怕忽視,而不是惡意)。

一種方法是將她的使用者帳戶從 NT 域使用者轉換為本地使用者。但是這樣一來,她的所有網路訪問權限都將被無條件地刪除。

另一種方法是繁瑣地列舉所有伺服器和這些伺服器上的所有共享,然後為該使用者在每個伺服器上添加 NTFS“拒絕寫入”權限。這很乏味而且很脆弱(將來創建/調整的任何新共享文件夾將共享給她的某些使用者組,她可以隱式訪問)。

所以我認為也許 AD 或組策略有自己的使用者粒度拒絕 SMB 寫入規則?我們可以將她的個人資料保留在 AD 和她目前所在的所有使用者組中,但是通過向她的帳戶添加一些個人規則來覆蓋所有目前和未來的共享文件夾訪問權限,以強制它們都是只讀的嗎?

就像“使用者 xxx@domainyyy 在訪問(列入白名單的文件夾)以外的共享 SMB 文件夾時應該拒絕所有寫入,無論在伺服器上本地為她或她的使用者組設置了哪些共享授權”。

NT 域或 GPO 中是否有這樣的功能?

安排她無法從她的辦公室桌面到另一台網路機器進行 RDP,然後將相同的拒絕 SMB 寫入規則錨定到她的桌面帳戶而不是使用者帳戶也可以。

域控制器是 Windows 2003,文件伺服器是 2003 或 2008 或 2008r2

“NT 域或 GPO 中是否有這樣的功能?” 答案是不。

要實現此目標:您應該在所有伺服器上使用 GPO 設置 ntfs 和共享權限。我不會解釋如何,網路上到處都是如何做的。

然後,有經驗的管理員可以建構一個模板,以便名為“GoodGuysFromOutsideThatMightHelpBadGuys”的組始終預設 ntfs 並共享拒絕通過 gpo 新創建的共享。

引用自:https://serverfault.com/questions/853196