Как добавить доступ на просмотр пользовательских папок клиентских машин определенной группе AD?

Question

[long_skinny_boy]

Добрый день, с помощью групповых политик создал общий доступ к диску C

net share c_drive$=C:\ /GRANT:c_drive_audit,READ

И также дал права на содержимое для этой же группы

subinacl.exe /share c_drive$ /grant=c_drive_audit=r

И всё бы хорошо, но в такой шаре не доступа в содержимое пользовательских папкой, т.е. всё что глубже C:\Users\some-user\... не доступно.
Так понимаю, дело в том, что у пользовательских папок отключено наследование прав, и это вроде бы как логично в плане безопасности. Но теперь не знаю как правильно дальше быть, отдельно проходиться по каждой папке пользователя и отдельно давать группе права на чтение? И насколько это вообще нормальное решение, ощущение что колхозом попахивает

Comments

[Drno]

ну правильно, в них закрыт доступ...
а какая конечная цель? и почему надо шарить именно весь диск С ?

[long_skinny_boy]

Drno, Отделу безопасности нужен доступ полностью ко всем дискам, в том числе пользовательским папкам

[Drno]

long_skinny_boy, может им "нахер" сходить?)) Это как бы "не безопасно" вообще ни разу)
тогда ответ ниже.. от Виктора. Под админом доступ будет, под юзером - нет

Answer 1

[Виктор]

А что мешает использовать административные "шары"(Admin$, IPC$, C$, D$)? Они автоматически создаются(если целенаправленно не отключить) для каждого диска. И доступ к ним имеет только админы, а админы имею доступ и к личным папкам пользователей.
Подробнее читайте ТУТ

Answer 2

[Alexey Dmitriev]

На пользовательских папках права есть только у самого пользователя и членов локальной группы Administrators.
Так что или руками выдавать или добавлять в локал админы на каждом компе или дать безопасникам доступ к LAPS