none
Создание сетевой папки профиле пользователя через GPO

    Вопрос

  • Добрый день! Для реализации модели централизованного сетевого сканирования возникла необходимость создать папку SCAN! в профиле текущего пользователя в папке Pictures ( по просьбе отдела ИБ) и расшарить ее для группы безопасности в которую входят учетные только записи принтеров.

    Для этих целей был написан простенький PowerShell скрипт :

    $Name = "$env:USERNAME.Scan!$"
    $path = "$env:USERPROFILE\Pictures\$env:USERNAME.scan!"
    $user = "domain\TS_g_test1"
    $Rights = "Read,Write,ReadAndExecute,ListDirectory"
    $InheritSettings = "Containerinherit, ObjectInherit"
    $PropogationSettings = "None"
    $RuleType = "Allow"
    $acl = Get-Acl $path
    $perm = $user, $Rights, $InheritSettings, $PropogationSettings, $RuleType
    $rule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $perm
    $acl.SetAccessRule($rule)
    $acl | Set-Acl -Path $path
    $smb = New-SmbShare –Name $name –Path $path -FullAccess domain\g_test1


    Папка при этом создавалась средствами GPO , а данный скрипт добавлялся в сценарий входа пользователя ( для отработки переменных ) сред. 

    Все замечательно работает до :

    $smb = New-SmbShare –Name $name –Path $path -FullAccess domain\g_test1

    Так как данная требует повышенных привилегий для создания сетевой папки . Всю голову сломал как создать сетевую папку без ввода учетных данных в явном виде. 

    Подскажите пожалуйста элегантный, не громоздкий способ, реализации данной политики GPO!

    Смотрел в сторону VBS и cmd но возникают проблемы с переменными средами и повышением привилегий. А в случае применения групповой политик "на компьютер" не отрабатывают ввиду порядка применения политик ПК и пользователя.

Ответы

  • не привязываясь с переменным среды можете привязаться к значениям в c:\users и в шедульной задаче от системы выполнять раз в 5 минут скрипт который будет проходить все профили в c:\users и конфигурить то что вам необходимо (создание каталога, проверка прав, установка прав, проверка smb, конфигурация smb...)

    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Makvey 23 мая 2019 г. 11:32
    Модератор

Все ответы

  • не привязываясь с переменным среды можете привязаться к значениям в c:\users и в шедульной задаче от системы выполнять раз в 5 минут скрипт который будет проходить все профили в c:\users и конфигурить то что вам необходимо (создание каталога, проверка прав, установка прав, проверка smb, конфигурация smb...)

    The opinion expressed by me is not an official position of Microsoft

    • Помечено в качестве ответа Makvey 23 мая 2019 г. 11:32
    Модератор
  • Этот вариант тоже рассматривал и тестировал, но тех. поддержке будет сложнее отследить выполнение данного сценария,а точнее появится больше вариантов диагностирования ( применилась gpo но не запустилась задача ).

    Может быть есть другие инструменты решения, казалось бы, тривиальной задачки?

  • Этот вариант тоже рассматривал и тестировал, но тех. поддержке будет сложнее отследить выполнение данного сценария,а точнее появится больше вариантов диагностирования ( применилась gpo но не запустилась задача ).

    Может быть есть другие инструменты решения, казалось бы, тривиальной задачки?

    не наблюдал особых проблем в прод среде с подобными сценариями

    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Спасибо, значит пока оставим реализацию через планировщик.

    Я так понимаю альтернативных вариантов нет? 

  • Спасибо, значит пока оставим реализацию через планировщик.

    Я так понимаю альтернативных вариантов нет? 

    это относительно простой вариант который приходит в голову, альтернатива это настройка софта безопасников на использование админ шар или иных методом не привязанных к профилям


    The opinion expressed by me is not an official position of Microsoft

    Модератор
  • Спасибо за консультацию!