从域管理员保护NTFS卷上的文件

Modified on: Fri, 13 Sep 2019 06:40:01 +0800

我们是一家拥有2008R2域名的小公司,我们拥有一个包含多个共享卷的文件服务器。我们在域管理员角色中有许多IT人员,因为我们有效地全天候24小时待命。但是,最近公司政策的一个问题是,某些文件夹或文件(薪资数据,绩效评估,会计信息)应该保密,包括IT人员。这还包括备份数据(磁带和磁盘)。

到目前为止我们已经发生的事情:

* EFS - 但我们必须设置一个PKI,这对我们公司的规模来说有点过分

* TrueCrypt - 但这会杀死并发访问和搜索能力

*从ACL中删除Domain Admins - 但这非常容易(单击一下)绕过

*删除Domain Admins组的使用,并更明确地委派权限 - 但这又有点过分,我们希望出于审计原因尽可能减少对共享帐户(例如,MYDOMAIN \ Administrator)的需求

我确信这不是一个新问题,我很好奇其他有这种要求的人是如何处理它的?有没有我们尚未考虑过的选项?

谢谢!

作者:,bab

最佳答案

首先,您必须信任您的管理员。如果不这样做,他们就不应该有这项工作或这些特权。公司信任可以访问这些数据的财务人员或人力资源人员,那么为什么不是IT人员呢?提醒他们管理员有能力每天捣毁生产环境,但选择不这样做。管理层必须清楚地看到这个问题。

接下来,正如@ sysadmin1138所说,提醒管理员访问不等于权限。

也就是说,默认情况下,我们不授予域管理员访问文件共享的权限。它们被删除,并在每个共享NTFS权限的三个ACL组(读取,写入,管理)。默认情况下,没有人在ACL Admin组中,并且会监视这些组的成员身份。

是的,域管理员可以获得这些文件的所有权,但它留下了痕迹。审计很重要。罗纳德里根称之为“信任,但要核实”。人们应该知道你正在检查。

最后,开始从域管理员中删除人员。 AD权限太容易在今天进行粒化。没有理由不这样做。让管理员可以访问他们管理的服务器或服务,而不是一切。

作者:,uSlackr

相关问答

添加新评论