Задать вопрос
@long_skinny_boy

Как добавить доступ на просмотр пользовательских папок клиентских машин определенной группе AD?

Добрый день, с помощью групповых политик создал общий доступ к диску C

net share c_drive$=C:\ /GRANT:c_drive_audit,READ

И также дал права на содержимое для этой же группы

subinacl.exe /share c_drive$ /grant=c_drive_audit=r


И всё бы хорошо, но в такой шаре не доступа в содержимое пользовательских папкой, т.е. всё что глубже C:\Users\some-user\... не доступно.
Так понимаю, дело в том, что у пользовательских папок отключено наследование прав, и это вроде бы как логично в плане безопасности. Но теперь не знаю как правильно дальше быть, отдельно проходиться по каждой папке пользователя и отдельно давать группе права на чтение? И насколько это вообще нормальное решение, ощущение что колхозом попахивает
  • Вопрос задан
  • 135 просмотров
Подписаться 2 Простой 3 комментария
Пригласить эксперта
Ответы на вопрос 2
@MadLor
А что мешает использовать административные "шары"(Admin$, IPC$, C$, D$)? Они автоматически создаются(если целенаправленно не отключить) для каждого диска. И доступ к ним имеет только админы, а админы имею доступ и к личным папкам пользователей.
Подробнее читайте ТУТ
Ответ написан
Комментировать
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
На пользовательских папках права есть только у самого пользователя и членов локальной группы Administrators.
Так что или руками выдавать или добавлять в локал админы на каждом компе или дать безопасникам доступ к LAPS
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы