none
Как назначить права группе пользователей на дисковые ресурсы с помощью групповой политики? RRS feed

  • Вопрос

  • Здравствуйте!

    Есть задача некоторой группе пользователей (допустим Domain Users) с помощью групповой политики назначить/запретить некоторые права доступа на некоторые ресурсы (допустим, локальные диски компьютеров), на которых регистрируются пользователи из этой группы. Как это можно сделать?

    Важна только идея, для простоты и ясности можно считать, что нужно, например, пользователям из заданной группы запретить писать в корень диска С без наследования.

    14 апреля 2011 г. 4:58

Ответы

Все ответы

  • Через политику безопасности File system

    GPO_name\Computer Configuration\Windows Settings\Security Settings\File System\

    • Помечено в качестве ответа WindowsNT.LVEditor 14 апреля 2011 г. 6:07
    14 апреля 2011 г. 5:05
    Отвечающий
  • Думаю вам поможет вот это http://social.technet.microsoft.com/Forums/ru-RU/scrlangru/thread/329cf5db-95c5-4f4d-a19e-f6ea5f0f4cb9 для PowerShell в Вашем случае между веткой реестра и папкой разницы нет, меняется только провайдер. Это идея, как Вы просили, но не конечное решение. Не уверен, что групповые политики Вам помогут.


    Moderator not found. Begin flame war ([Y]/[N])?
    14 апреля 2011 г. 5:10
  • Александр, спасибо за ответ, но я не силен в PowerShell, не хотелось бы с ним связываться.
    14 апреля 2011 г. 5:43
  • Некоторые уточнения по ходу дела:

    1. Для назначения прав доступа создайте отдельный объект политики. Скажем, MyCompany Office Permissions Policy или MyCompany Servers Permissions Policy.

    2. Не используйте запреты (Restrictions). Следует всё сделать только разрешениями (Permissions). Для вашей задачи это: Administrators, SYSTEM: Full Control; Users: Read. При наличии только права на Чтение право на Запись отсутствует уже как таковое.

    3. Для назначения прав используйте Локальные или Доменные Локальные группы. Domain Users - глобальная группа; не криминал, но лучше не надо.

    4. Вообще, организовать назначение ВСЕХ прав на все файловые ресурсы и реестр с помощью доменных политик — идея иной раз трудоёмкая, но правильная. Это даёт вам естественную документируемость имеющихся прав и может обеспечить силовое переназначение прав, если вдруг другой администратор какие-то права испортит.


    MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA
    14 апреля 2011 г. 6:12
    Отвечающий
  • Спасибо!

    А можно ли с помощью групповой политики назначить права локальным группам КОМПЬЮТЕРА (не домена)? Например, нужно задать некоторые права на корень диска C не только доменным пользователям, но и группе "Пользователи" на компьютере.

    Просто возникла такая ситуация: опробовал предложенный механизм, да работает. НО, т.к. группа Domain Users на каждом локальном компьютере входит в состав локальной группы "Users" этого компьютера, то членам группы Domain Users достаются еще и некоторые "излишние" права от группы "Users" компьютера, а этого хотелось бы избежать.

    14 апреля 2011 г. 7:10
  • Спасибо!

    А можно ли с помощью групповой политики назначить права локальным группам КОМПЬЮТЕРА (не домена)? Например, нужно задать некоторые права на корень диска C не только доменным пользователям, но и группе "Пользователи" на компьютере.

    Просто возникла такая ситуация: опробовал предложенный механизм, да работает. НО, т.к. группа Domain Users на каждом локальном компьютере входит в состав локальной группы "Users" этого компьютера, то членам группы Domain Users достаются еще и некоторые "излишние" права от группы "Users" компьютера, а этого хотелось бы избежать.


    Когда правите политику выбирайте группу "пользователи" не из домена (размещение - Location) а с локальной рабочей станции.
    14 апреля 2011 г. 7:31
    Отвечающий
  • Я правлю политику на контроллере домена (тестовом), и кроме домена могу выбрать в Location только сам компьютер - контроллер домена, а мне нужно выбрать ВСЕ КОМПЬЮТЕРЫ - локальные рабочие станции, т.к. политика должна применяться ко всем локальным рабочим станциям. Это возможно?
    14 апреля 2011 г. 7:55
  • там не важно какой компьютер выбирается, локальные встроенные группы относятся к well known и каждый компьютер к которому применена политика будет рассматривать ее как свою локальную группу

    14 апреля 2011 г. 7:59
    Модератор
  • Выясняется, что на КОНТРОЛЛЕРЕ ДОМЕНА, когда выбираешь именно его, а не домен,  в расположении (Location) нельзя выбрать локальную группу "Users" не из домена - ее просто нет. :) Как тогда можно поступить?

    14 апреля 2011 г. 17:43
  • все верно, у контроллера нет локальных групп

    делай это на обычном компе, достаточно установить gpmc из rsat

    14 апреля 2011 г. 20:56
    Модератор