限制 NT 域/AD 用户或桌面对所有共享文件夹的只读访问权限

我们有一位长期全职员工，她将通过远程桌面连接到她的办公室（Win7 或 Win8，记不太清楚）机器，以便全天候工作。我们认为存在风险，她的家用电脑可能会感染病毒，或者孩子/客人可以访问它，然后通过她的办公桌面访问内部服务/服务器并破坏保存的信息。

虽然用户都在 Active Directory 中描述，但网络共享在所有服务器上都是本地管理的（服务器在域中，但其共享文件夹的 ACL 是在本地创建的，而不是 AD 推送的）。从历史上看，诞生了相当多的服务器，积累了信息，用户是多个用户组的成员，既可以单独获得权限，也可以通过组获得权限。

现在我们想保留她的个人资料和她在办公桌面上创建的所有工作环境，想保留她的本地管理权限（软件开发，包括安装和卸载辅助应用程序、管理她电脑上的共享文件夹等），想让她能够研究旧文件以获取多年积累的信息。但不能修改它们。至少在没有一些精心策划的规避活动的情况下不能修改它们（我们担心的是疏忽，而不是恶意）。

一种方法是将她的用户帐户从 NT 域用户转换为本地用户。但这样一来，她的所有网络访问授权都会被无条件删除。

另一种方法是繁琐地枚举所有服务器及其上的所有共享，然后为该用户在每个服务器上添加 NTFS“拒绝写入”权限。这很繁琐，而且很脆弱（将来创建/调整的任何新共享文件夹，如果将共享给她的一些用户组，她都会隐式地访问它们）。

所以我认为 AD 或组策略可能具有自己的用户级拒绝 SMB 写入规则？我们是否可以将她的个人资料保留在 AD 中以及她当前所在的所有用户组中，但通过向她的帐户添加一些个人规则来覆盖所有当前和未来的共享文件夹访问授权，以强制所有共享文件夹都为只读？

就像“用户 xxx@domainyyy 在访问除（白名单文件夹）之外的共享 SMB 文件夹时，应该被拒绝所有写入，无论在服务器上本地为她或她的用户组设置了哪些共享授权”。

NT 域或 GPO 中是否有这样的功能？

安排她不能从她的办公室桌面通过 RDP 进入另一台网络机器，然后将相同的拒绝 SMB 写入规则锚定到她的桌面帐户而不是用户帐户也是可以的。

域控制器是 Windows 2003，文件服务器是 2003 或 2008 或 2008r2