Ich versuche, in unserer aktuellen Umgebung eine Richtlinie zu implementieren, bei der den lokalen Laufwerken NTFS-Berechtigungen hinzugefügt werden. Ich habe dies implementiert, indem ich die Einstellungen in Computerkonfiguration – Windows-Einstellungen – Sicherheitseinstellungen – Dateisystem bearbeitet habe. Leider werden beim Einrichten der Einstellungen alle aktuellen Einstellungen überschrieben, wenn das GPO angewendet wird. Ich habe „Vererbbare Berechtigungen auf alle Unterordner übertragen …“ ausgewählt, aber alle aktuellen Berechtigungen werden entfernt und durch die Einstellungen im GPO ersetzt.
Der folgende Screenshot zeigt die aktuellen Computerkonfigurationseinstellungen innerhalb des GPO.
Irgendeine Idee zur richtigen Implementierung, die ich verwenden muss?
Antwort1
Für alle, die auf diesen Thread stoßen und auf dieselben Probleme stoßen: Ich habe einen Workaround implementiert, indem ich ein PowerShell-Startskript verwende, das die Berechtigungen hinzufügt. Das schien zu funktionieren. Ich habe das folgende Skript verwendet:
$C = (Get-Item "C:\").GetAccessControl('Access')
$D = (Get-Item "D:\").GetAccessControl('Access')
$Exec = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "readandexecute", "Containerinherit,Objectinherit", "None", "Allow")
$Deny = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "write", "Containerinherit,Objectinherit", "None", "Deny")
$C.SetAccessRule($Exec)
$C.SetAccessRule($Deny)
Set-ACL "C:\" $C
$D.SetAccessRule($Exec)
$D.SetAccessRule($Deny)
Set-ACL "D:\" $D