Windows-Server-2008

為審核員準備的最佳實踐 ACL?

  • December 9, 2011

一位審計員很快將訪問我們的辦公室,他們將要求對我們的數據進行只讀訪問。我已經創建了一個域使用者帳戶並將它們放入一個名為“審核員”的組中。

我們有一個包含大約十個共享文件夾的文件伺服器(Windows Server 2008)。所有共享都設置為允許對經過身份驗證的使用者進行完全訪問,並且使用 NTFS ACL 實施訪問限制。大多數文件夾允許完全訪問“域使用者”組,但審核員不需要進行任何更改。更新 NTFS ACL 需要幾個小時,因為我們有大約一百萬個文件。以下是我目前正在考慮的選項。

  • 創建一個“員工”組以在共享級別分配讀/寫而不是“域使用者”
  • 在 NTFS 級別創建一個“員工”組來分配讀/寫而不是“域使用者”
  • 在共享級別拒絕訪問“審核員”組
  • 拒絕訪問 NTFS 級別的“審核員”組
  • 接受現狀並信任審計師。

我將來可能需要配置類似的使用者,因為我們的一些承包商需要一個域帳戶,但不應該能夠修改我們的客戶數據。對此有最佳做法嗎?

這是我要做的(所有在 NTFS 級別,保留您的共享權限):

  1. 創建一個“ReadOnlyAccess”組
  2. 將 Auditors 組、contractors 組等添加到“ReadOnlyAccess”
  3. 創建員工組
  4. 刪除域使用者權限 - 無論如何您都不想這樣做
  5. 添加具有工作所需最低權限的員工組
  6. 添加具有 R/O 訪問權限的 ReadOnlyAccess 組

您可以一次完成步驟 4-6,因此它不是多個 acl 更新。

現在,每當有人需要 R/O 訪問權限時,您只需將他們添加到“ReadOnlyAccess”組即可,以後無需更新 acl。

引用自:https://serverfault.com/questions/222913