Как ограничить доступ пользователей домена к папкам FsX в среде Windows EC2?

Справочная информация: домен Windows, настроенный в AWS EC2 с рядовыми серверами. Мы используем собственную рекламу, которая также находится в том же VPC. Создан общий ресурс FsX, который смонтирован на всех серверах Windows, входящих в домен. Доля FsX монтируется нормально. Однако по умолчанию кажется, что любой аутентифицированный пользователь в домене имеет доступ для чтения и записи к общему ресурсу FsX.

Мы боремся с ограничением доступа на чтение/запись к определенным папкам в общем ресурсе только для определенных пользователей.

Документы AWS по адресу https://docs.aws.amazon.com/fsx/latest/WindowsGuide/limit-access-file-folder.html говорят следующее:

Каждая файловая система Amazon FSx поставляется с общим файловым ресурсом Windows по умолчанию, который называется общим ресурсом. Списки управления доступом Windows для этой общей папки настроены так , чтобы разрешить пользователям домена доступ на чтение и запись . Они также предоставляют полный контроль группе делегированных администраторов в вашей Active Directory, которой делегировано выполнение административных действий в ваших файловых системах. Если вы интегрируете свою файловую систему с AWS Managed Microsoft AD, эта группа — AWS Delegated FSx Administrators. Если вы интегрируете свою файловую систему с самоуправляемой установкой Microsoft AD, эта группа может быть администраторами домена. Или это может быть пользовательская группа делегированных администраторов, которую вы указали при создании файловой системы. Чтобы изменить ACL, вы можете сопоставить общий ресурс как пользователь, который является членом группы делегированных администраторов.

Можно ли переопределить это поведение по умолчанию, и если да, то как?

Мы монтируем общую папку на диске V: и хотим, чтобы папка V:\user1 имела только RW для [email protected],[email protected] а V:\user2 также должна быть ограничена

Из безопасности «Свойства папки» он не разрешает удаление разрешения «Все пользователи», поскольку он наследует его от какого-то другого разрешения, которое было настроено во время создания FsX.