Я пытаюсь реализовать политику в нашей текущей среде, в которой разрешения NTFS добавляются к локальным дискам. Я реализовал это, отредактировав настройки в Конфигурация компьютера - Параметры Windows - Параметры безопасности - Файловая система. К сожалению, когда я настраиваю параметры, все текущие настройки перезаписываются при применении GPO. Я выбрал "Распространить наследуемые разрешения на все подпапки...", но все текущие разрешения удаляются и заменяются настройками в GPO.
На снимке экрана ниже показаны текущие параметры конфигурации компьютера в GPO.
Есть ли у меня какие-либо идеи по поводу правильной реализации, которую мне нужно использовать?
решение1
Для тех, кто заходит в эту ветку и сталкивается с теми же проблемами, я реализовал обходной путь с помощью скрипта запуска PowerShell, который добавляет разрешения. Кажется, это сработало. Я использовал следующий скрипт:
$C = (Get-Item "C:\").GetAccessControl('Access')
$D = (Get-Item "D:\").GetAccessControl('Access')
$Exec = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "readandexecute", "Containerinherit,Objectinherit", "None", "Allow")
$Deny = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "write", "Containerinherit,Objectinherit", "None", "Deny")
$C.SetAccessRule($Exec)
$C.SetAccessRule($Deny)
Set-ACL "C:\" $C
$D.SetAccessRule($Exec)
$D.SetAccessRule($Deny)
Set-ACL "D:\" $D