Минимальные права на доступ ко всему каталогу пользователей на другом компьютере

Question

Какие минимальные права требуются для доступа к каталогу «Пользователи» на другом компьютере через общий ресурс администратора?

У меня есть пакетный файл, который записывает некоторую информацию на несколько других компьютеров, используя путь \\% COMPUTERNAME% \c $ \Users \% USERNAME% \AppData \Roaming. Пакетные файлы запускаются от имени непривилегированного пользователя (только часть пользователей домена). Как установить соответствующие права, чтобы служебная учетная запись имела доступ к папке AppData \Roaming для каждого пользователя на другом компьютере?

Я хотел бы дать права ниже, чем Local Admin, который, я знаю, будет работать.

Вещи, которые я пытался:

1. Администратор домена попытался предоставить права на изменение каталогу C:\Users\ на локальном компьютере. Ошибка: доступ запрещен.
2. Установите учетную запись службы на локальном администраторе на другом компьютере. Это работает, но противоречит политике ИТ, где я работаю. Я хотел бы сделать это с правами ниже, чем локальный администратор.

Какие-либо предложения?

Answer 1

Согласно Википедии,

Административные общие ресурсы не могут быть доступны пользователям без прав администратора.

Чтобы вообще получить доступ к \\computername\c$ , учетная запись службы должна быть членом группы локальных администраторов. То же самое касается \\computername\admin$ .

Я попытался обойти это, создав новый общий ресурс Users$ сопоставленный с C:\Users на локальном компьютере. Я дал учетную запись службы Change права на акции, и попытался дать праву Modify на самой папке. Я отдельно попытался назначить владельца C:\Users учетной записи службы.

Это не сработало, как я надеялся. При настройке прав я получил ошибку Access is Denied в нескольких подпапках (например, C:\Users\username\AppData\Local для каждого пользователя). Поскольку мне был нужен только доступ к C:\Users\username\AppData\Roaming для каждого пользователя, это было близко к работоспособному решению и было доступно с другого компьютера с помощью \\computername\Users$\username\AppData\Roaming . Обратная сторона: любой новый пользователь, входящий в систему на этом компьютере, не наследовал права автоматически. Я должен был переназначить права для каждого нового пользователя.

В конечном итоге ИТ-отдел предоставил исключение из политики, согласно которому локальный администратор получает учетную запись службы на каждом затронутом компьютере, что дает мне беспрепятственный доступ к \\computername\c$\Users\ .

Большое спасибо @Ramhound за помощь в этом вопросе.