Estou tentando implementar uma política em nosso ambiente atual onde as permissões NTFS são adicionadas às unidades locais. Implementei isso editando as configurações em Configuração do Computador - Configurações do Windows - Configurações de Segurança - Sistema de Arquivos. Infelizmente, quando eu defino as configurações, todas as configurações atuais são substituídas quando o GPO é aplicado. Selecionei "Propagar permissões herdáveis para todas as subpastas...", mas todas as permissões atuais são removidas e substituídas pelas configurações no GPO.
A captura de tela abaixo mostra as configurações atuais do computador dentro do GPO.
Alguma ideia sobre a implementação correta que preciso usar?
Responder1
Para qualquer pessoa que se depara com esse tópico e enfrenta os mesmos problemas, implementei uma solução alternativa usando um script de inicialização do PowerShell que adiciona as permissões. Isso pareceu funcionar. Eu usei o seguinte script:
$C = (Get-Item "C:\").GetAccessControl('Access')
$D = (Get-Item "D:\").GetAccessControl('Access')
$Exec = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "readandexecute", "Containerinherit,Objectinherit", "None", "Allow")
$Deny = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "write", "Containerinherit,Objectinherit", "None", "Deny")
$C.SetAccessRule($Exec)
$C.SetAccessRule($Deny)
Set-ACL "C:\" $C
$D.SetAccessRule($Exec)
$D.SetAccessRule($Deny)
Set-ACL "D:\" $D