背景:
云桌面环境中,PVS流模式下,普通用户使用的软件(VC++6.0)安装到了 C:\Program Files (x86)\VC++6.0目录下,在编译特定程序时,需要编辑修改 C:\Program Files (x86)\VC++6.0\VC98\Include目录下的头文件内容。
由于PVS流模式下,C盘的数据对普通用户只读,而且也不想通过临时授权用户Domain Admin等具有较高权限的组的权限,想通过创建单独的用户组,然后AD组策略里单独针对组授权,允许组成员修改C:\Program Files (x86)\VC++6.0\VC98\Include下的文件和文件夹。
重点:
组策略:计算机配置->策略->Windows 设置->安全设置->文件系统。添加相应的文件或者文件夹,赋权(Full Control)给特定组。
实现过程
1)创建组 CDrivermodifier.
服务器管理器->工具->Active Directory 用户和计算机.
选择合适的OU,创建组.
2 ) 创建组策略并链接到对应的OU.
新建组策略,然后编辑,选择 计算机配置->策略->Windows 设置->安全设置->文件系统
添加文件->%ProgramFiles% (x86)\VC++6.0\VC98\Include->确定后,选择步骤1中新建的组CDrivermodifier,授予改组Full Control的权限.
最后将 需要修改此文件夹的用户加入 CDrivermodifier 组中。
3) 重启桌面后,使用gpresult 查看组策略的应用结果.
以上步骤实施后,普通用户确实能够编辑C盘数据,重启桌面后,数据被还原。
但是有一个问题,在gpresult 查看策略应用结果时,发现新创建的策略被拒绝,原因是 “清空”。但是确实不影响我们的目的。此问题在搜索后还没有找到合理的解释和配置,等待后续探索.
参考连接.
https://community.spiceworks.com/topic/2117970-allow-domain-users-to-access-edit-hosts-file
https://blog.csdn.net/zhuzhuxiazst/article/details/105950167