Do ponto de vista de segurança e capacidade de gerenciamento, a melhor solução é descobrir quem está negando o acesso legítimo e fazê-lo parar.
Usuários e administradores de nível inferior não devem interferir na sua capacidade de monitorar e gerenciar a infraestrutura de TI.
Se você só puder resolver o problema técnico sem abordar o problema maior, será forçado a implementar medidas técnicas.
Se você só puder restaurar o acesso (e não estiver preocupado em identificar a origem da alteração), será preciso fazer duas coisas:
1. Atribuir permissões NTFS adequadas
Você pode fazer isso via script com o comando icacls / grant , ou pode fazê-lo através do editor de Política de Grupo. Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de segurança > Sistema de arquivos.
Se você fizer isso via script, também poderá distribuir esse script como um script de Logon / Logoff / Startup / Shutdown por meio da Diretiva de Grupo.
2. Atribuir permissões SMB adequadas
Isto requer o comando net com o verbo share . Por exemplo:
net share SHARENAME /grant:GROUPNAME,PERMISSION
GROUPNAME precisa ser citado se contiver espaços, como "DOMAIN \ Domain Admins", e PERMISSION deve ser READ, WRITE ou FULL.
Observe que os scripts de inicialização e desligamento são executados como SYSTEM por padrão, portanto, eles não devem ter problemas para configurar as permissões desejadas, independentemente do que foi configurado para os administradores de domínio e administradores locais.
Se seus usuários ficarem espertos no futuro, eles poderão adicionar uma entrada DENY ALL que se aplique ao grupo "Administradores de domínio". A entrada DENY explícita tem precedência sobre sua entrada GRANT. Você pode remover essa entrada da ACL por meio do script, por isso é facilmente derrotada.
Se eles o transformam em uma corrida armamentista, você pode ganhar contanto que a máquina seja unida ao domínio, mas isso desperdiça tempo em ambos os lados. É por isso que é melhor corrigir o problema. problema através da educação / execução, em vez de contramedidas técnicas.