Usando as preferências de política de grupo no escopo do usuário, estamos criando uma pasta pessoal para novos usuários no servidor. Esta pasta base herda as permissões "CREATOR OWNER" do compartilhamento inicial raiz. Agora, queremos criar uma segunda pasta na pasta Home chamada Scans. Mas, queremos alterar as permissões dessa pasta para que o usuário tenha controle total sobre as subpastas e arquivos - não queremos apenas herdar as permissões de "PROPRIETÁRIO CRIADOR". O problema é que o scanner coloca arquivos nessa pasta e se torna o proprietário do arquivo, fazendo com que o usuário perca o acesso a ele.
Estou curioso para saber quais idéias estão por aí sobre como fazer isso?
Acho que sei quais opções tenho, e nenhuma delas é a ideal. Em primeiro lugar, não estou ciente de um item de preferência de política de grupo para usuários que podem definir permissões de arquivo/pasta - todos eles têm escopo de computador, o que não funciona neste caso. Além disso, a ordem de execução do script de login vem antes dos itens da pasta de preferência de política de grupo que exigiriam pelo menos 2 GPOs para contornar e eu odeio scripts de login nos dias de hoje.
Portanto, o objetivo seria NÃO usar scripts de login, usar um único item de GPO e tê-lo totalmente configurado durante o primeiro logon (sem ter que fazer logon duas vezes ou aguardar a atualização do gp, etc.)
Por enquanto, a única solução que posso encontrar usaria um único GPO com um script de logon para definir permissões no nível do usuário. Então, em última análise, parece que a melhor maneira é apenas criar um script de login que cria a pasta inicial, cria a pasta de varreduras e define as permissões. Mas isso é TÃO feio e também é uma dor porque nossos GPOs estão usando o direcionamento de nível de item por vários motivos diferentes e os scripts de login não suportam o direcionamento de nível de item.
Depois de muita turbulência pessoal, e nenhuma resposta para esta pergunta, eu criei o que acredito ser a melhor solução possível, além de usar o script de login completo.
Consegui expandir o GPO existente que atualmente cria a pasta pessoal do usuário e a pasta Verificações na pasta pessoal do usuário. Em seguida, adicionei um script de login a este GPO e o configurei assim:
Há algumas coisas que acontecem que tornam isso possível:
Infelizmente, ele usa um script de "login", mas está chamando o comando diretamente, em vez de criar um arquivo de script e executá-lo em um local compartilhado. E depende de um segundo GPO (que já tínhamos). Isso pode ser combinado em um único GPO, mas exigiria dois logons para ser concluído porque os mapas de unidade de política de grupo se aplicam antes das pastas de política de grupo se forem combinadas no mesmo GPO.
Quando isso for concluído, isso é o que acontece quando um usuário faz login pela primeira vez: