Dê acesso exclusivo ao AD para o Mapped Drive via GPO

Navegue suas respostas
1

Eu quero saber como fornecer ao usuário acesso exclusivo a uma pasta, mas não a outras pastas. A raiz da pasta está localizada aqui: 

DC1\UserFolders\%username%

Eu uso um GPO para mapear a pasta desse usuário. Mas o problema é que ele só mapeia se o usuário tiver acesso à pasta raiz. O problema é que eles podem ficar intrometidos e navegar para as pastas de outros usuários.

Estou procurando ajuda em um script que permita que eu faça essa pasta de usuários exclusiva para essa pessoa. E a capacidade de ver outras pastas impossíveis.

Abaixo está o que eu tentei (adicionado ao script de inicialização): 

icacls D:\UserFolder /inheritance:d
icacls D:\UserFolder\%username% /grant "%username%":(m)

Mas não parece fazer nada. O que estou fazendo errado, e há um roteiro melhor para isso?

    
por Bill Daugherty 30.01.2017 / 16:43

1 resposta

3

Existem duas maneiras em que posso pensar para lidar com isso:

  1. Conceder o grupo Usuários Autenticados (ou qualquer outro grupo do qual todos os usuários sejam membros) a permissão NTFS "Traverse Folder" somente na pasta pai, certificando-se de desabilitar a herança de permissões nas pastas filhas e habilitando Enumeração Baseada em Acesso no Compartilhamento. Certifique-se de conceder as permissões NTFS apropriadas para cada pasta filho para cada usuário respectivo.

  2. Conceder aos usuários as permissões NTFS apropriadas somente para suas pastas e remover todas as permissões NTFS para Usuários Autenticados (ou qualquer outro grupo dos quais todos os usuários sejam membros) da pasta pai. O direito de usuário embutido "checar desvio transversal" permitirá que a unidade seja mapeada para o usuário, mas o usuário não terá permissões na pasta pai ou em qualquer uma das pastas filhas.

por 30.01.2017 / 16:53

Tags

Iniciador iScsi no Windows 2008 R2 Samba4: Possível construir uma floresta AD