使用组策略文件系统为域客户端系统盘文件夹赋权

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况,
注:
1、 该策略是针对计算机的
2、 策略应用的计算机设置上
3、 可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）
4、 使用相对路径的时候注意大小写的书写
5、 不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题
参考文章:
http://social.microsoft.com/Forums/ko-KR/windowsserversystemzhchs/thread/c28004e5-0784-4172-bde9-750e15b47d0b
http://bbs.winos.cn/viewthread.php?tid=43192&extra=&highlight=%D7%E9%B2%DF%C2%D4%2B%CE%C4%BC%FE%CF%B5%CD%B3&page=1
下面我们开始实施步骤，首先我们在域控上打开组策略管理器，选中ITPC组织单元，右键点击新建组策略并进行链接，这里我们命名新建组策略名称为Files Permission








右键点击新建的组策略对其进行编辑



在弹出的组策略管理编辑器页面中选择计算机配置-------策略-----windows设置-----安全设置-----文件系统，点击文件系统，在页面右侧点击新建文件





请注意红框中的路径，这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和
Program Files（X86）两个文件夹，所以这里我们也要添加两个。实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。



点击确定，在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：
1、 添加此权限到所有子文件夹和文件
2、 此权限替换所有子文件夹和文件的权限
3、 不允许此权限下发到子文件夹和文件
这里我们选择替换所有子文件夹和文件的权限，同理添加Program Files（X86）文件夹，权限设置与此一致。





贴张图看下策略应用效果



下面我们到客户端去测试效果：
我们看下Program Files和Program Files（x86）两个文件夹的权限，这里我们可以看到domain users有修改权限，然后在和其他文件夹权限作对比









本策略在我公司客户端应用正常,亲测…….