管理 NTFS 權限的安全組
首先,我在一家公司工作,很久以前,當他們為每個部門實施文件共享時,他們還打破了 NTFS 權限的基本規則,並對某些文件夾的使用者使用了明確的權限。舉一個我們設置的例子,每個使用者都有一個 W: 驅動器。W: 驅動器層次結構類似於以下內容:
女:\人力資源
W:\合法
W:\財務
W:\通訊
我很確定在某一時刻,這些文件夾井井有條。但隨後出現了複雜的情況,法律部門的某個人需要訪問人力資源文件,財務部門的某個人需要訪問法律文件,然後是奇怪的情況,來自不同法律部門的 2 個不同的人需要訪問法律文件夾中的特定文件夾,但他們不希望其他人有權訪問此文件夾。當時 IT 部門認為最好的解決方案是向這些人授予明確的權限。
自從我 7 年前開始從事這項工作以來,我一直在暗示要為這些實例創建安全組(即使它只是針對一個使用者帳戶),因為當使用者離開時,我們會將它們從所有組中刪除,並將它們放入前僱員 OU 5 年,但他們的明確權限仍保留在文件共享中的文件夾上。
當我暗示要為這些實例創建安全組時,反駁的論點是,“當人們離開時,我們將如何管理所有空組?我們將如何在 AD 中組織和命名這些組?”
對於第一個論點,我建議使用一個簡單的 powershell 腳本來刪除空組,或者只是將它們保留在原處,以供將來要求對特定文件夾具有相同訪問權限的任何員工使用。
第二個論點是我無法想出一個好的解決方案。因此,在那篇簡短的小說之後,我只想詢問有關在遇到我上面列出的情況時在 AD 中組織安全組以獲得 NTFS 權限的任何提示或範例。
我的一個想法是為特殊的 NTFS 權限組創建一個 OU,以他們授予訪問權限的文件夾命名這些組,並將完整的文件路徑放在描述中。
如果有人有更好的想法,或者如果有人這樣做不同,我願意接受建議。
你的想法本質上就是我所做的,而且我在復雜環境中以這種方式管理事物方面取得了很大成功。
這兩個問題的解決方案是創建與文件夾/共享綁定的資源組。您根本不會刪除空組,只要文件夾或共享存在,組就存在,只要其中有使用者就存在。如果您刪除了該文件夾,那麼您將刪除關聯的資源組,無論它是否為空。
關於如何在 AD 中組織安全原則的問題對我來說有點神秘——這就是 AD 的用途!你可以隨心所欲地組織它!
這是我的做法:
- 在適當的位置創建一個 OU,並將其稱為“資源組”之類的有用名稱。
- 可選:在“資源組”中創建一個 OU,並將其命名為“文件夾組”。此步驟主要是為自己留出放置其他資源組的位置,例如列印機組或應用程序組。
- 開始瀏覽所有對其具有非繼承權限的文件夾/共享。當您找到具有非繼承權限的內容時,請創建一個為其命名的域本地安全組。例如,對於 \FileServer01\Accounting,您將創建一個名為“Accounting Folder”的組。請注意,您不應將組命名為“Accounting”,因為該組用於文件夾,而不是用於部門。我喜歡讓事情更加清晰,並且沒有名為“會計”的組。我喜歡擁有“Accounting Users”全域安全組和“Accounting Folder”域本地安全組。
- 在新文件夾組的描述中,輸入完整的 UNC 路徑或其他方式來指定它的文件夾。這樣就不會混淆組允許訪問的資源。例如,您可以將描述設為“\FileServer01\Accounting”,也可以將其設為“D:\Shares\Accounting on FileServer01”。
- 將新組添加到文件夾上的 ACL,並將文件夾上的每個使用者或使用者組 ACE 添加到該組。讓我澄清一下:首先,授予會計文件夾組對會計文件夾的適當權限。然後通過會計文件夾的其他權限並將所有這些對象添加到會計文件夾組,但不要添加像“SYSTEM”或“CREATOR OWNER”這樣的對象。只需添加您知道的那些,例如“會計部門”組和已被授予對會計文件夾的顯式訪問權限的個人帳戶。此時不要刪除文件夾的任何權限. 使用者在下次獲得安全令牌(通常是他們下次登錄)之前,不會根據您創建的組獲得新的訪問權限。如果您刪除顯式 ACE,您幾乎肯定會將人們鎖定在文件夾之外,他們將不得不註銷並重新登錄才能使新的權限結構正常工作。
- 繼續瀏覽所有文件夾,直到您完成創建新組並設置新權限結構。在您確定使用者至少註銷並重新登錄一次(可能是幾週)之後,您可以從最不重要的文件夾開始刪除文件夾本身的顯式 ACE,並確保使用者仍然具有訪問權限。重新瀏覽這些文件夾,並確保與最關鍵的使用者(人力資源、財務、C 級)確認他們仍然可以訪問相應的文件。
- **筆記:**您可能已經想知道授予不同級別訪問權限的 ACE 例如,會計對會計文件夾具有讀/寫權限,但 CEO 具有隻讀權限。在這些情況下,您必須為每個文件夾創建多個資源組,我建議您弄清楚如何為每個文件夾創建不超過三個組,並且一致地命名它們,並且為每個文件夾創建相同的兩個或三個. 因此,您可以將它們命名為“Accounting Folder RW”、“Accounting Folder RO”和“Accounting Folder FC”(用於完全控制)。希望你沒有最後一個類別,但我在將權限管理委派給部門負責人方面取得了一些成功,這意味著他們需要能夠授予子文件夾和文件的權限,所以這就是我所說的“
筆記:
- 上述建議遵循 Microsoft 最佳實踐。使用者被放入使用者組。創建資源組並授予對資源的訪問權限。然後,將使用者組和/或使用者添加到適當的資源組。為什麼這是管理權限的明智方法有很多很多原因,我將在下面討論其中的一些。
- 不要將使用者添加到使用者組只是為了讓他們訪問資源。例如,如果您有一個會計使用者組,其中包含會計中的每個人,請不要將 CEO 添加到會計使用者組,只是為了讓他們訪問會計文件。你永遠不知道未來會出現什麼樣的意外後果。
- 這樣做的一個優點是通過組成員身份授予對資源的訪問權限更快,並且不太容易出現某些問題。例如,如果您有一個包含 5,000 多個子文件夾和文件的會計文件夾,它們都從頂級會計文件夾 ACL 繼承權限,那麼如果您將單個使用者添加到該會計文件夾 ACL,則該更改必須傳播到所有 5,000 個文件並且他們所有的 ACL 都必須添加新的 ACE。通過使用資源組,您只需將使用者添加到相關組中,他們就可以訪問。零 ACL 更改。
- 另一個巨大的優勢是您可以輕鬆找到特定使用者可以訪問的所有資源。使用顯式 ACE,查看使用者可以訪問什麼的唯一方法是審核網路上的每個 ACL,以查看該使用者中是否有 ACE。使用資源組,您只需轉到 AD 中的使用者並查看他們屬於哪些組。
- 可能我最喜歡這種方法的優點是您可以完全複製使用者對所有資源的訪問權限,因為該訪問權限與他們帳戶的組成員身份相關聯,而不是與網路上的各種 ACL 相關聯。您的 CFO 是否擁有對整個文件伺服器上 20 多個不同文件夾的各種瘋狂訪問權限,而現在他們已經退休,而您有了新的 CFO?沒問題!只需複制舊 CFO 的帳戶,輸入新名稱等,新 CFO 現在擁有與舊 CFO 完全相同的訪問權限!獎勵:您不必做一些愚蠢的事情,例如保持舊 CFO 的帳戶正常工作,以便執行團隊成員可以“以他們的身份登錄以訪問文件”。
- 將資源訪問權複製到另一個資源或移動文件夾也容易得多。如果您建構一個新的文件伺服器並將所有文件複製到新伺服器,則不必將大量 ACE 複製到新伺服器。只需授予資源組適當的權限。
- 除了能夠審核單個使用者的訪問權限之外,您還可以輕鬆審核誰可以訪問給定資源。只需查看資源的資源組,您就會得到一個列表,其中列出了誰對該資源具有何種類型的訪問權限。
- 最後一件事:我不明白您為什麼要從所有組中刪除離開的使用者。我會將它們從電子郵件通訊組中刪除,但不會從安全組中刪除。將他們留在安全組中可以讓您記錄他們擁有的訪問權限,並且還可以在他們離開後複製該帳戶及其訪問權限。有時人們在找到替代品之前就離開了,因此在替代品開始之前保留該禁用帳戶有助於提高運營的連續性。此外,有時人們離開然後在幾個月後回來。如果你使用 AD 資源回收筒,那麼你可以在 30 或 60 天后刪除該帳戶,然後在一年後如果使用者回來,他們仍然可以恢復它,並且他們可以同時恢復他們的所有權限。