Temos um funcionário de longo prazo trabalhando em casa, via conexão de área de trabalho remota, para o escritório dela (Win7 ou Win8, não lembro), que funcionaria 24x7 para isso. Achamos que haveria o risco de que seu computador em casa pudesse ser infectado por vírus ou que as crianças / convidados pudessem acessá-lo e, em seguida, acessar a serviços / servidores internos e danificar as informações armazenadas.
Embora todos os usuários estejam descritos no Active Directory, os compartilhamentos de rede são administrados localmente em todos os servidores (os servidores estão no domínio, mas as ACLs de suas pastas compartilhadas são criadas localmente, não são enviadas por AD). Historicamente, nasceram vários servidores com informações acumuladas, e o usuário é membro de vários grupos de usuários, obtendo suas permissões tanto individualmente quanto por meio dos grupos.
Agora, queremos manter seu perfil e todo o ambiente de trabalho que ela criou em seu escritório, manter seus direitos de administração local (desenvolvimento de software, incluindo instalação e desinstalação de aplicativos auxiliares, gerenciamento de pastas compartilhadas em seu PC etc.) , quer que ela possa pesquisar arquivos antigos por anos acumulados. Mas não poder modificá-los. Pelo menos não sem algumas atividades de evasão cuidadosamente planejadas (tememos a negligência, não a malevolência).
Uma maneira seria converter sua conta de usuário do usuário do domínio NT em usuário local. Mas, assim, TODAS as concessões de acesso à rede seriam removidas incondicionalmente.
Outra maneira seria enumerar tediosamente todos os servidores e todos os compartilhamentos sobre eles e, em seguida, adicionar privilégios "negar gravação" do NTFS em todos os que são para esse usuário. Isso é tedioso e isso é frágil (qualquer nova pasta compartilhada criada / ajustada no futuro, que seria compartilhada com alguns de seus grupos de usuários, seria implicitamente acessível a ela).
Então, acho que talvez as políticas de AD ou de grupo tenham suas próprias regras de negação de SMB negativas? Podemos manter o perfil dela no AD e em todos os grupos de usuários em que ela está atualmente, mas adicionando alguma regra pessoal à sua conta substituir todas as concessões de acesso a pastas compartilhadas atuais e futuras, para impor que todas sejam lidas somente?
Como "usuário xxx @ domainyyy ao acessar pastas SMB compartilhadas que não sejam (pastas (s) na lista de permissões) devem ser negadas todas as gravações, independentemente de quais concessões para o compartilhamento foram definidas para seus grupos de usuários localmente nos servidores" .
Existe tal funcionalidade no domínio do NT ou nos GPOs?
Organizar que ela não seria capaz de RDP de seu desktop de escritório em outras máquinas de rede e, em seguida, ancorar a mesma regra de negação de SMB na sua conta de desktop, em vez de conta de usuário, também seria bom.
Controladores de Domínio são o Windows 2003, os servidores de arquivos são 2003 ou 2008 ou 2008r2
"Existe tal funcionalidade no domínio do NT ou nos GPOs?" A resposta é: Não.
Para atingir esse objetivo: Você deve definir ntfs e compartilhar permissões usando GPOs em todos os servidores. Eu não vou explicar como, a web está cheia de como fazer isso.
Em seguida, um administrador experiente pode criar um modelo para que um grupo chamado "GoodGuysFromOutsideThatMightHelpBadGuys" sempre defina ntfs e compartilhe negações em compartilhamentos recém-criados por meio do gpo.