我正在尝试在当前环境中实施一项策略,将 NTFS 权限添加到本地驱动器。我通过编辑“计算机配置 - Windows 设置 - 安全设置 - 文件系统”中的设置来实现此目的。不幸的是,当我设置设置时,应用 GPO 时所有当前设置都会被覆盖。我选择了“将可继承权限传播到所有子文件夹...”,但所有当前权限都被删除并由 GPO 中的设置替换。
下面的屏幕截图显示了 GPO 内的当前计算机配置设置。
对于我需要使用的正确实现,您有什么想法吗?
答案1
对于遇到此问题并遇到相同问题的任何人,我已通过使用添加权限的 PowerShell 启动脚本实施了一种解决方法。这似乎奏效了。我使用了以下脚本:
$C = (Get-Item "C:\").GetAccessControl('Access')
$D = (Get-Item "D:\").GetAccessControl('Access')
$Exec = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "readandexecute", "Containerinherit,Objectinherit", "None", "Allow")
$Deny = New-Object system.security.accesscontrol.filesystemaccessrule("MYDOMAIN\Dir_Local_Drives_R", "write", "Containerinherit,Objectinherit", "None", "Deny")
$C.SetAccessRule($Exec)
$C.SetAccessRule($Deny)
Set-ACL "C:\" $C
$D.SetAccessRule($Exec)
$D.SetAccessRule($Deny)
Set-ACL "D:\" $D