Как создать учетную запись в домене с доступом только к 1 папке и правом входа по RDP?
Есть 3 файловых сервера на Windows Server 2008R2 (в домене). Нужно предоставить сотруднику сторонней организации доступ к определенной папке (D:\Program files\SOFT\) на каждом файловом сервере под одной учетной записью. Сотрудник будет подключаться, используя RDP, загружать несколько МБ данных, выполнять .exe файл (определенный) и отключаться.
Вариант прописывать запрещающие правила NTFS на каждый каталог, кроме того, с каким будет работать пользователь мне не нравится.
Хочется странного? Но нет, штатными средствами такое не сделать. Тем более, что без сервера терминалов доступ к серверу по rdp имеют только учетки с административными привилегиями.
Сотрудник будет подключаться, используя RDP, загружать несколько МБ данных, выполнять .exe файл (определенный) и отключаться.
Это автоматизируется на коленке при помощи ftp или какого-нибудь облачного файлохранилища по вкусу, подмонтированного как папка. И скрипта в планировщике, следящего за появлением новых файлов в этой папке и запускающего нужную тулзу.
Без сервера терминалов доступ по rdp, кроме администраторов, имеют все члены группы "пользователи удалённого рабочего стола". Для подключения, пользователю даже не нужно быть членом Domain Users.
Деталей маловато.
Во-первых, как уже отметили в комментариях, терминальник - их есть у вас?
Или как вообще RDP организовываете?
Т.е. он будет на каждый сервер заходить отдельно по RDP? Просто с внешки? Или может настроены AD Federation Services?
Может Claims-provider trust и relying-party trust есть необходимость реализовать?
Или Dynamic Access Control с user claim здесь применим.
Доступ к папке - ок. С какими разрешениями?
А на каком уровне целостности работает этот "ехе"? Т.е. там же могут быть разные зависимости и требования для программы в плане разрешений на директории и прочее? И не избежать тогда повышения привилегий.
Терминальника нет. Доступ нужен для обслуживающий "консультант +" организации. Доступ нужен только в директорию "Консультант +" и профиль пользователя.
Подключаться будут либо по внешним адресам (проброшены порты), либо сначала к VPN серверу организации, а потом по внутренним адресам.
Уровень целостности - средний.
NTFS права на директорию" консультант +" - полный доступ.
Фактически, нужно организовать доступ с защитой от случайного вредительства
Простой
Средний
Средний
