Restaurando a permissão de arquivo / pasta usando o GPO

Question

Restaurando a permissão de arquivo / pasta usando o GPO

#1 resposta do (0 votos)

1

Inicialmente, em nosso ambiente de domínio do Windows, todos os Usuários do Domínio são, por padrão, Administrador Local de sua própria estação de trabalho. Após alguma deliberação, foi decidido que os Usuários do Domínio deveriam ser removidos do grupo de Administradores Locais por motivos de segurança. Para isso, eles configuraram no GPO para remover todos os usuários do grupo Administrador Local, exceto Administrador (interno), DOMAIN \ Administrador e Administradores de Domínio.

Uma vez, eles removeram usuários do domínio do grupo Administrador local, os usuários começaram a enfrentar problemas de permissão ao iniciar determinado aplicativo, por meio do qual o aplicativo não tem direitos específicos para ler os arquivos de configuração em C :.

Durante a resolução de problemas, um dos administradores de sistema concedeu aos Utilizadores do Domínio todos os direitos para C: (% SystemDrive%). Os direitos foram configurados em Computer Configuration > Windows Settings > Security Settings > File Systems , em que os Usuários do Domínio receberam Controle Total para% SystemDrive%. Não tinha certeza se essa política ajudava a resolver o problema e ninguém fez uma observação ou descrição disso. Foi deixado lá como está.

Hoje, após cerca de 2 anos, outro administrador de sistema observou essa configuração específica de diretiva durante a revisão da diretiva de domínio de grupo. O administrador de sistemas decidiu que conceder direitos de Controle Total de Usuários de Domínio para% SystemDrive% é muito arriscado na perspectiva de segurança e removeu a entrada de permissão de Usuário de Domínio dessa política. É aí que o problema começou.

Depois de remover a entrada de usuário do domínio na configuração de permissão% SystemDrive%, um dos nossos aplicativos encontrou arquivos de gravação de problemas em diretórios do sistema que não são Windows (por exemplo, C: \ tmp ou C: \ msclog). Neste ponto, é bastante óbvio que uma vez que o usuário do domínio foi removido dessa configuração de diretiva, o aplicativo não tem direitos para gravar os arquivos em diretórios do sistema não-Windows. Preocupa-se que isso possa ser ainda mais propagado nos diretórios do sistema Windows (por exemplo, C: \ Windows, C: \ Arquivos de Programas, etc) e levará a outros problemas no futuro. Ao mesmo tempo, não podemos adicionar / conceder aos usuários do domínio permissão total para C: também.

Como tal, existe alguma maneira de restaurar a permissão de arquivo / pasta do Windows para sua configuração original com o GPO?

windows-server-2008 file-permissions group-policy

por Furai Kaito 19.09.2014 / 19:40

1 resposta

Tags windows-server-2008 file-permissions group-policy

Não é possível resolver o nome de domínio do Amazon route53 para loadbalancer Migrando provedores de DNS

score 0 · Answer 1

Você precisa fazer algumas coisas aqui:

Primeiro, uma vez que você aplicou a segurança alterada no GP, não há como voltar atrás. A remoção da política não removerá as alterações. Há uma tonelada de diferentes conjuntos de permissão em toda a unidade do sistema, para que você possa praticamente desistir de colocá-los novamente em estoque. Sua melhor aposta é recriar seus clientes.

Em segundo lugar, você precisa validar seus aplicativos em execução como usuários padrão antes de implantar alterações como essa. Eu trabalhei com o mesmo problema exato no meu último trabalho: todos os usuários tinham direitos administrativos locais e consegui reduzir a todos os direitos de usuário padrão. É uma dor na a **, sim. Você tem que tentar cada aplicação e ver quais quebram, e sim, haverá muitas que são mal escritas e requerem acesso administrativo para funcionar corretamente. Para isso, você pode usar um programa como o Process Monitor, um utilitário gratuito da Microsoft, para ver quais arquivos eles estão tentando acessar e bloqueados. Depois de saber isso, você pode usar a Diretiva de Grupo para conceder seletivamente acesso a esses arquivos. Eu criaria grupos de domínio para cada aplicativo, concederia permissões do sistema de arquivos a esses grupos e, em seguida, adicionaria seus usuários a esses grupos para manter as coisas fáceis de gerenciar.