最初,在我们的 Windows 域环境中,所有域用户默认都是其自己工作站的本地管理员。经过一番深思熟虑,出于安全原因,我们决定将域用户从本地管理员组中删除。为此,他们在 GPO 中配置为从本地管理员组中删除除管理员(内置)、DOMAIN\Administrator 和域管理员之外的所有用户。
有一次,他们从本地管理员组中删除了域用户,用户在启动某些应用程序时开始面临权限问题,而该应用程序没有读取 C: 中的配置文件的特定权限。
在故障排除过程中,一位系统管理员授予域用户对 C: (%SystemDrive%) 的完全权限。权限配置为Computer Configuration > Windows Settings > Security Settings > File Systems
授予域用户对 %SystemDrive% 的完全控制权。不确定该策略是否有助于解决问题,而且没有人对此发表评论或描述。它就保留在那里。
今天,大约两年后,另一位系统管理员在审查组域策略时注意到了该特定策略设置。系统管理员认为,从安全角度来看,授予域用户对 %SystemDrive% 的完全控制权限非常危险,因此从该策略中删除了域用户权限条目。问题就从这里开始。
在 %SystemDrive% 权限设置中删除域用户条目后,我们的一个应用程序在将文件写入非 Windows 系统目录(例如 C:\tmp 或 C:\msclog)时遇到了问题。此时,很明显,一旦从该策略设置中删除域用户,该应用程序就没有权限将任何文件写入非 Windows 系统目录。我们担心这可能会进一步传播到 Windows 系统目录(例如 C:\Windows、C:\Program Files 等),并会导致将来出现其他问题。同时,我们也无法添加/授予域用户对 C: 的完全权限。
那么,我们有没有办法使用 GPO 恢复 Windows 文件/文件夹权限到其原始设置?
答案1
您需要在这里做一些事情:
首先,一旦您应用了 GP 更改的安全性,就无法恢复。删除策略不会删除更改。整个系统驱动器中存在大量不同的权限集,因此您几乎可以放弃将它们恢复到原样。最好的办法是重新映像您的客户端。
其次,在部署此类更改之前,您需要验证您的应用程序是否以标准用户身份运行。我在上一份工作中也遇到过同样的问题:所有用户都拥有本地管理权限,而我将它们全部缩减为标准用户权限。这确实很麻烦。您必须尝试每个应用程序,看看哪些应用程序出现故障,是的,会有很多应用程序编写不当,需要管理权限才能正常运行。对于这些应用程序,您可以使用 Process Monitor(Microsoft 的免费实用程序)之类的程序来查看它们试图访问并被阻止的文件。了解这一点后,您可以使用组策略有选择地授予对这些文件的访问权限。我将为每个应用程序创建域组,向这些组授予文件系统权限,然后将您的用户添加到这些组,以便于管理。