通过管理共享访问另一台计算机上的用户目录所需的最低权限是什么?
我有一个批处理文件,它使用路径 \\%COMPUTERNAME%\c$\Users\%USERNAME%\AppData\Roaming 将一些信息写入其他几台计算机。批处理文件在非特权用户(仅属于域用户的一部分)下运行。如何设置适当的权限,以便服务帐户可以访问另一台计算机上每个用户的 AppData\Roaming 文件夹?
我想授予低于本地管理员的权限,我知道这会起作用。
我尝试过的事情:
- 作为域管理员,尝试授予本地计算机上 C:\Users\ 目录的修改权限。错误:访问被拒绝。
- 在另一台计算机上将服务帐户设置为本地管理员。这可行,但违反了我工作所在地的 IT 政策。我希望使用低于本地管理员的权限来实现这一点。
有什么建议么?
答案1
根据维基百科,
没有管理权限的用户无法访问管理共享。
为了能够进行访问\\computername\c$,服务帐户必须是本地管理员组的成员。 这也同样适用\\computername\admin$。
我尝试通过在本地计算机上创建一个名为Users$映射到的新共享来解决这个问题。我授予服务帐户对共享的权限,并尝试授予对文件夹本身的权限。我单独尝试将所有权分配给服务帐户。C:\UsersChangeModifyC:\Users
这并没有像我希望的那样起作用。在设置权限时,我Access is Denied在几个子文件夹上遇到了错误(例如,C:\Users\username\AppData\Local针对每个用户)。由于我只需要访问C:\Users\username\AppData\Roaming每个用户,因此这关闭一个可行的解决方案,并且可以使用 从另一台计算机访问\\computername\Users$\username\AppData\Roaming。 不足之处:任何登录该机器的新用户都不会自动继承权限。我必须为每个新用户重新分配权限。
最终,IT 部门批准了一项策略例外,为每台受影响的计算机上的服务帐户提供本地管理员权限,让我可以不受限制地访问\\computername\c$\Users\。
特别感谢@Ramhound 在此事上的帮助。