Windows-Server-2008
為審核員準備的最佳實踐 ACL?
一位審計員很快將訪問我們的辦公室,他們將要求對我們的數據進行只讀訪問。我已經創建了一個域使用者帳戶並將它們放入一個名為“審核員”的組中。
我們有一個包含大約十個共享文件夾的文件伺服器(Windows Server 2008)。所有共享都設置為允許對經過身份驗證的使用者進行完全訪問,並且使用 NTFS ACL 實施訪問限制。大多數文件夾允許完全訪問“域使用者”組,但審核員不需要進行任何更改。更新 NTFS ACL 需要幾個小時,因為我們有大約一百萬個文件。以下是我目前正在考慮的選項。
- 創建一個“員工”組以在共享級別分配讀/寫而不是“域使用者”
- 在 NTFS 級別創建一個“員工”組來分配讀/寫而不是“域使用者”
- 在共享級別拒絕訪問“審核員”組
- 拒絕訪問 NTFS 級別的“審核員”組
- 接受現狀並信任審計師。
我將來可能需要配置類似的使用者,因為我們的一些承包商需要一個域帳戶,但不應該能夠修改我們的客戶數據。對此有最佳做法嗎?
這是我要做的(所有在 NTFS 級別,保留您的共享權限):
- 創建一個“ReadOnlyAccess”組
- 將 Auditors 組、contractors 組等添加到“ReadOnlyAccess”
- 創建員工組
- 刪除域使用者權限 - 無論如何您都不想這樣做
- 添加具有工作所需最低權限的員工組
- 添加具有 R/O 訪問權限的 ReadOnlyAccess 組
您可以一次完成步驟 4-6,因此它不是多個 acl 更新。
現在,每當有人需要 R/O 訪問權限時,您只需將他們添加到“ReadOnlyAccess”組即可,以後無需更新 acl。