Limitare il dominio NT / utente o desktop AD a un accesso di sola lettura a tutte le cartelle condivise

Abbiamo un impiegato a tempo pieno a lavorare da casa attraverso la connessione a Desktop remoto al suo ufficio (Win7 o Win8, non si ricorda abbastanza) macchina, che functionrebbe 24×7 per esso. Pensiamo che ci sia un rischio che il proprio computer di casa possa essere infettato da virus o che i bambini / ospiti possano accedere ad esso, quindi tramite il proprio desktop si accede a servizi / server interni e danneggia le informazioni.

Mentre gli utenti sono tutti descritti in Active Directory, le condivisioni di networking vengono amministrate localmente su tutti i server (i server sono nel dominio, ma gli ACL nelle loro cartelle condivise vengono creati localmente e non spostati AD). Storicamente, sono nati numerosi server con informazioni accumulate e l'utente è membro di più gruppi di utenti, ottenendo le autorizzazioni sia individualmente che tramite i gruppi.

Ora vogliamo mantenere il suo profilo e tutto l'ambiente di lavoro che ha fatto sul suo desktop, vogliono mantenere i propri diritti amministrativi locali (sviluppo di software, inclusi l'installazione e la disinstallazione di applicazioni di aiuto, la gestione di cartelle condivise sul suo PC, ecc.), La vogliono per poter ricercare i vecchi file per anni informazioni accumulate. Ma non essere in grado di modificarli. Alless non senza alcune attività di elusione attentamente pianificate (themesamo l'abbandono, non la malevolenza).

Un modo sarebbe convertire il suo account utente dall'utente NT Domain in utente locale. Ma in questo modo TUTTE le sovvenzioni di accesso alla networking verrebbero rimosse senza condizioni.

Un altro modo, sarebbe quello di enumerare con caucanvas tutti i server e tutte le condivisioni su quelle e quindi aggiungere i privilegi NTFS "negare la scrittura" su tutti quelli per quell'utente. Questo è noioso e questo è fragile (qualsiasi nuova cartella condivisa creata / sintonizzata in futuro, che sarebbe condivisa ad alcuni dei suoi gruppi di utenti, sarebbe implicitamente accessibile a lei).

Quindi penso che forse le politiche AD o le politiche di gruppo hanno le proprie regole di deny-SMB-write-grained user-grained? Possiamo mantenere il suo profilo in AD e in tutti i gruppi di utenti in cui è attualmente in possesso, ma aggiungendo una regola personale all'account sopprime tutte le dotazioni di accesso di cartelle condivise in futuro e futuro, per far rispettare tutte queste informazioni solo in lettura?

Come "l'utente xxx @ domainyyy quando si accede a cartelle condivise SMB diverse da quelle (cartelle bianche) dovrebbe essere negata tutte le scritture, non import che le sovvenzioni per la condivisione sono state impostate per i suoi gruppi di utenti presenti localmente sui server".

Esiste una tale funzionalità nel dominio NT o negli oggetti Criteri di gruppo?

Disponendo che lei non sarebbe in grado di RDP da quel suo desktop di ufficio in un'altra macchina di networking, e quindi ancorare la stessa deny-SMB scrivere regola al suo account desktop piuttosto che l'account utente sarebbe okay troppo.

I controller di dominio sono Windows 2003, i file server sono 2003 o 2008 o 2008r2

  • Come faccio a impedire a un IP di creare una voce DNS su un server multi-homed?
  • Come creare un server di printing PDF?
  • Come verificare se il server di Windows è un server virtuale
  • Backup di Active Directory
  • Declinare un aggiornamento già spinto,
  • Come installare una printingnte di networking su tutte le workstation per tutti gli utenti di Windows Server 2003 Standard Edition?
  • Come inoltrare i nomi DNS mancanti di una zona esistente nel server DNS di Windows?
  • Gli oggetti Criteri di gruppo vengono negati anche se i criteri di filtraggio sono soddisfatti
  • One Solution collect form web for “Limitare il dominio NT / utente o desktop AD a un accesso di sola lettura a tutte le cartelle condivise”

    "Esiste una tale funzionalità nel dominio NT o negli oggetti Criteri di gruppo?" La risposta è no.

    Per raggiungere questo objective: è necessario impostare ntfs e condividere le autorizzazioni utilizzando gli oggetti Criteri di gruppo in tutti i server. Non spiegherò come, il web è pieno di come è per questo.

    Quindi un amministratore esperto può build un model in modo che un gruppo chiamato "GoodGuysFromOutsideThatMightHelpBadGuys" preseleziona sempre ntfs e condivida la negazione sulle azioni appena create tramite gpo.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.