Restauration de l'autorisation de file / dossier via GPO

Initialement, dans notre environnement de domaine Windows, tous les users du domaine sont par défaut Administrateur local de leur propre post de travail. Après quelques délibérations, il a été décidé que les users du domaine devraient être retirés du groupe administrateur local pour des raisons de security. Pour cela, ils ont configuré dans le GPO pour supprimer tous les users du groupe Administrateur local, à l'exception des administrateurs (embeddeds), DOMAIN \ Administrateur et Administrateurs de domaine.

Une fois, ils ont supprimé les users du domaine du groupe Administrateur local, les users ont commencé à faire face à des problèmes d'autorisation lors du lancement de certaines applications dans lesquelles l'application n'a pas les droits spécifiques de lire les files de configuration en C :.

Au cours de la résolution des problèmes, l'un des sysadmin a donné aux users du domaine des droits complets sur C: (% SystemDrive%). Les droits ont été configurés dans la configuration de l' Computer Configuration > Windows Settings > Security Settings > File Systems où les users du domaine ont reçu le contrôle total sur% SystemDrive%. Il n'était pas certain que cette politique ait consortingbué à résoudre le problème et personne n'a fait de remarque ou de description. On l'a laissé là où il se trouvait.

Aujourd'hui, après environ 2 ans, un autre sysadmin, a remarqué un paramètre de politique particulier lors de l'examen de la politique de domaine de groupe. Le sysadmin a décidé que donner des droits de contrôle complet de l'user du domaine à% SystemDrive% est très risqué dans la perspective de security et supprime l'input d'autorisation de l'user du domaine de cette politique. C'est là que le problème a commencé.

Après avoir supprimé l'input de l'user du domaine dans le paramètre d'autorisation% SystemDrive%, l'une de nos applications a rencontré des files d'écriture de problèmes dans des directorys de système autres que Windows (par exemple, C: \ tmp ou C: \ msclog). À ce stade, il est assez évident qu'une fois que l'user du domaine a été retiré de ce paramètre de stratégie, l'application n'a pas le droit d'écrire des files dans des directorys de systèmes autres que Windows. Nous sums préoccupés par le fait que cela pourrait être encore propulsé dans les directorys du système Windows (p.ex. C: \ Windows, C: \ Program Files, etc.) et entraînera d'autres problèmes à l'avenir. Dans le même time, nous ne pouvons pas non plus append / donner aux users du domaine l'autorisation complète de C: également.

En tant que tel, est-ce que de toute façon, nous pouvons restaurer l'autorisation de file / dossier Windows à son paramètre d'origine avec GPO?

One Solution collect form web for “Restauration de l'autorisation de file / dossier via GPO”

Vous devez faire quelques éléments ici:

Tout d'abord, une fois que vous avez appliqué la security modifiée avec GP, il n'y a pas de return. La suppression de la stratégie ne supprime pas les modifications. Il y a une quantité d'sets d'permissions différents dans l'set du système, de sorte que vous pouvez abandonner tous les ans pour les remettre en stock. Votre meilleur pari est de réimporter vos clients.

Deuxièmement, vous devez valider vos applications en tant qu'users standard avant de déployer des modifications comme celle-ci. J'ai travaillé avec le même problème exact lors de mon dernier travail: tous les users possédaient des droits administratifs locaux et je les réduisais à tous les droits d'user standard. C'est une douleur dans le a **, oui. Vous devez essayer chaque application et voir celles qui se brisent, et oui, il y aura beaucoup qui sont mal écrits et nécessitent un access administratif pour fonctionner correctement. Pour ceux-ci, vous pouvez utiliser un programme comme Process Monitor, un utilitaire gratuit de Microsoft, pour voir quels files ils essayent d'accéder et se bloquer. Une fois que vous le savez, vous pouvez utiliser la stratégie de groupe pour accorder de manière sélective l'access à ces files. Je créerais des groupes de domaine pour chaque application, accorderais des permissions de système de files à ces groupes, puis appendais vos users à ces groupes pour garder les choses faciles à gérer.

  • Comment puis-je replace une politique de redirection de dossier pour les users d'ordinateurs portables Server 2008
  • Pourquoi appcmd.exe se comporte-t-il différemment lorsqu'il est exécuté dans un file batch?
  • 2ème conversion P2V de partition amorçable
  • Mises à jour automatiques se produisant involontairement
  • Plusieurs sites sur IIS exécutant le même code et la même configuration - certains d'entre eux ont mis w3wp.exe à 100%, certains sont bien
  • Pourquoi je ne peux pas faire glisser / déposer un file pour l'éditer dans un bloc-notes dans Windows Server 2008?
  • Est-il possible, via GPO ou autre méthode, de désactiver le mode de compatibilité intranet d'Internet Explorer sur un domaine?
  • Période de grâce du système d'affaires Essential Business System
  • Windows Server 2008 Resource Monitor - Mémoire - Que signifient les différentes colonnes?
  • La connection échoue jusqu'à ce qu'un ordinateur pille l'autre
  • Serveur DB avec SSD RAID 10
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.