現在の環境で、NTFS アクセス許可をローカル ドライブに追加するポリシーを実装しようとしています。コンピューターの構成 - Windows の設定 - セキュリティの設定 - ファイル システムで設定を編集してこれを実装しました。残念ながら、設定を行うと、GPO が適用されると現在の設定がすべて上書きされてしまいます。[継承可能なアクセス許可をすべてのサブフォルダーに伝達する...] を選択しましたが、現在のアクセス許可はすべて削除され、GPO の設定に置き換えられます。
以下のスクリーンショットは、GPO 内の現在のコンピューター構成設定を示しています。
使用する必要がある正しい実装について何かアイデアはありますか?
答え1
このスレッドを見て同じ問題に遭遇した人のために、アクセス許可を追加する PowerShell スタートアップ スクリプトを使用して回避策を実装しました。これでうまくいったようです。次のスクリプトを使用しました。
$C = (Get-Item "C:\").GetAccessControl('Access')
$D = (Get-Item "D:\").GetAccessControl('Access')
$Exec = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "readandexecute", "Containerinherit,Objectinherit", "None", "Allow")
$Deny = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "write", "Containerinherit,Objectinherit", "None", "Deny")
$C.SetAccessRule($Exec)
$C.SetAccessRule($Deny)
Set-ACL "C:\" $C
$D.SetAccessRule($Exec)
$D.SetAccessRule($Deny)
Set-ACL "D:\" $D