使用用户范围的组策略首选项,我们正在为服务器上的新用户创建一个主文件夹。此主文件夹从根主共享继承“CREATOR OWNER”权限。现在,我们要在 Home 文件夹下创建第二个文件夹,称为 Scans。但是,我们想要更改该文件夹的权限,以便用户可以完全控制子文件夹和文件——我们不想仅仅继承“CREATOR OWNER”权限。问题是扫描仪将文件放入该文件夹并成为文件的所有者,导致用户无法访问它。
我很好奇关于如何做到这一点有什么想法?
我想我知道我有什么选择,但没有一个是最佳的。首先,我不知道可以设置文件/文件夹权限的用户的组策略首选项 - 它们都是计算机范围的,在这种情况下不起作用。此外,登录脚本执行顺序排在组策略首选项文件夹项目之前,这需要至少 2 个 GPO 才能解决,我讨厌这个时代的登录脚本。
因此,目标是不使用登录脚本,使用单个 GPO 项目,并在第一次登录期间对其进行完全配置(无需登录两次,或等待 gp 刷新等)
目前我能想到的唯一解决方案是使用带有登录脚本的单个 GPO 在用户级别设置权限。所以,最终,看起来最好的方法是创建一个登录脚本,创建主文件夹,创建扫描文件夹,然后设置权限。但是,这太难看了,而且也很痛苦,因为我们的 GPO 出于几个不同的原因使用项目级定位,并且登录脚本不支持项目级定位。
经过多次个人动荡,并且没有回答这个问题,我想出了我认为除了完整登录脚本之外的最佳解决方案。
我能够扩展现有的 GPO,它当前在用户的主文件夹下创建了用户的主文件夹和 Scans 文件夹。然后我向这个 GPO 添加了一个登录脚本,并像这样配置它:
有几件事使这成为可能:
不幸的是,它确实使用了“登录”脚本,但它直接调用命令,而不必创建脚本文件并从共享位置运行它。而且,它依赖于第二个 GPO(我们已经拥有)。这可以组合到一个 GPO 中,但是如果它们组合在同一个 GPO 中,则需要两次登录才能完成,因为组策略驱动器映射在组策略文件夹之前应用。
完成后,用户首次登录时会发生以下情况: