域domain user用户对本地NTFS磁盘的写入权限问题

昨天一新员工入职，分配域账户、mail账户电脑交付使用，临近中午的时候打来电话，说电脑有问题，我过去一看才知道这个所谓的问题是什么：在其他盘符中无法创建文件！

环境介绍：

1、 公司采用域对客户端进行管理

2、 客户端一律为domain user

 

其实这也不是什么问题，在域控中domain user的权限是最小的，主要还是是为了统一管控（当然也有弊端，权限小了，如果没有部署类似SCCM管理软件的话，那就够累的了）。但是随之而来的一些习惯性问题也显现出来了，问题如下：

1、 有些软件需要管理员权限才能运行

2、 对本地磁盘不能新建文件

解决方法：

针对第一个问题，请参考文档

http://lovelace.blog.51cto.com/1028430/910744

针对第二个问题，我们来看下相关的利弊内容：

开放权限：默认domain user对本地磁盘分区的权限为读取，但是新建文件夹是没有问题的，开放权限的话，容易导致autorun.inf病毒，虽然autorun.inf也只是一个文件，但是很多时候是会被病毒利用的。

开放权限只能批量设置：批量设置的话需要用到组策略的文件系统，这样的话就很耗费客户端的资源，延长开机时间。不是一个好的选择。

不开放权限：客户端只能新建自己命名的文件夹存放文件，然后把相应的文件拷贝进去

其他不好的地方貌似也没有了…….

开放权限的方法:

1、 装机的时候设置系统盘之外的磁盘everyone完全控制

2、 组策略----计算机策略----文件系统----添加d、e、f等磁盘NTFS权限为everyone完全控制

组策略设置方式同：

http://lovelace.blog.51cto.com/1028430/910744

小提示：出于客户端安全考虑，不建议开放权限。