在写这篇长文之前,我们在网上搜索了很长时间,但没有找到针对这个特定情况的任何解决方案,即使在微软的网站上也是如此。
长话短说才能理解背景
我们使用 Windows Server 2016 启动了一个项目,这是我们第一次应用 AGDLP 模型来配置共享文件夹。除了漫游配置文件外,一切都运行良好。
由于许可和成本原因,我们只能在 Windows Server 上使用 2 个虚拟机,一个专用于 Active Directory,另一个用于共享和应用程序(用户无法进行远程桌面访问,只能运行软件,共享文件夹用于存放文档和漫游配置文件)。这样一来,我们就无法再使用第三个虚拟机来分离软件和共享(无需购买另一个 Windows Server 许可证)。有 2 家不同的公司可以访问客户的服务器,第一家是 IT 服务公司(我们),第二家是管理特定软件的公司,需要自行安装和更新软件。但是,我们不希望第三家公司能够看到共享文件夹的内容,即使他们需要成为服务器的“内置管理员”成员才能安装软件,当然也无法访问 Active Directory 服务器。
我们为每个文件夹配置了安全组(读取、修改、完整)的 ACL,并将这些组分配给其他组,这是 AGDLP 上下文中的建议。但是,由于上述原因,我们没有添加访问权限的“内置管理员”部分,出于安全原因,我们也没有添加“域管理员”(域管理员组仅用于管理 Active Directory,其他所有组都有自己的组)。
除了“Homes”目录外,其他一切都运行正常,因为“Homes”目录包含用户的漫游配置文件和重定向文件夹。出于安全原因,我们希望只有用户(创建者所有者)和名为“Homes 管理员”的特定组才有访问权限。
该组可以访问配置文件,但即使我们属于拥有文件夹和子文件夹全部权限的组,我们也无法更改文件夹内的权限。看来我们需要成为“管理员”(内置或域)的成员才能对其进行修改。
你有遇到过这种情况的经验吗?或者你有什么建议可以帮助我们继续前进吗?
由于英语不是我们的主要语言,我们希望这篇文章足够清晰。如果没有,或者您需要更多信息,请告诉我们。
非常感谢您付出的时间和帮助:-)