Nós procuramos por um longo tempo na internet antes de escrever este longo post, mas não encontramos nenhuma solução para este caso específico, mesmo no site da Microsoft.
Longa história para entender o contexto
Iniciamos um projeto com o Windows Server 2016 e é a primeira vez que aplicamos o modelo AGDLP para configurar as pastas compartilhadas. Tudo funciona bem, exceto os perfis de roaming.
Por motivos de licenciamento e custos, só podemos ter duas máquinas virtuais disponíveis no Windows Server, uma dedicada ao Active Directory, a segunda para os compartilhamentos e aplicativos (sem acesso remoto à área de trabalho para usuários, apenas um software em execução e compartilhado pastas para documentos e perfis de roaming). Isso exclui o fato de que podemos ter uma terceira máquina virtual para separar o software e os compartilhamentos (sem comprar outra licença do Windows Server). Existem duas empresas diferentes que podem acessar o servidor do cliente, primeiro como serviços de TI (nos), e o segundo para gerenciar um software específico que precisa instalar e atualizar o software por conta própria. No entanto, não queremos que a 3ª empresa possa ver o conteúdo das pastas compartilhadas, mesmo que elas precisem ser membros dos "Administradores Internos" do servidor para poder instalar o software e, é claro, sem acesso a o servidor do Active Directory.
Nós configuramos as ACLs de cada pasta com os grupos de segurança (read, modify, full) e atribuímos os grupos a outros grupos, como é recomendado no contexto AGDLP. No entanto, não adicionamos a parte "BUILTIN Administrators" do acesso pelos motivos mencionados acima e, por motivos de segurança, não adicionamos os "Domain Admins" nem (o grupo Domain Admins está reservado para administrar apenas o Active Directory, tudo mais tem seu próprio grupo).
Tudo funciona bem, exceto o diretório "Homes", no qual temos os perfis de roaming e as pastas redirecionadas dos usuários. Por razões de segurança, gostaríamos que apenas o usuário (Proprietário criador) e um grupo específico chamado "Administradores de Casas" tivessem acesso.
Esse grupo pode acessar os perfis, MAS não podemos alterar os direitos da pasta, mesmo que façamos parte do grupo que tem direitos totais sobre a pasta e as subpastas. Parece que precisamos ser membros de "Administradores" (internos ou de domínio) para poder modificá-los.
Você tem experiência nessa situação? ou você tem alguma sugestão que possa nos ajudar a seguir em frente?
Como o inglês não é nossa língua principal, esperamos que este post seja claro o suficiente. Se não, se você precisar de mais informações, por favor nos avise.
Muito obrigado pelo seu tempo e ajuda: -)