為審核員準備的最佳實踐 ACL？

一位審計員很快將訪問我們的辦公室，他們將要求對我們的數據進行只讀訪問。我已經創建了一個域使用者帳戶並將它們放入一個名為“審核員”的組中。

我們有一個包含大約十個共享文件夾的文件伺服器（Windows Server 2008）。所有共享都設置為允許對經過身份驗證的使用者進行完全訪問，並且使用 NTFS ACL 實施訪問限制。大多數文件夾允許完全訪問“域使用者”組，但審核員不需要進行任何更改。更新 NTFS ACL 需要幾個小時，因為我們有大約一百萬個文件。以下是我目前正在考慮的選項。

• 創建一個“員工”組以在共享級別分配讀/寫而不是“域使用者”
• 在 NTFS 級別創建一個“員工”組來分配讀/寫而不是“域使用者”
• 在共享級別拒絕訪問“審核員”組
• 拒絕訪問 NTFS 級別的“審核員”組
• 接受現狀並信任審計師。

我將來可能需要配置類似的使用者，因為我們的一些承包商需要一個域帳戶，但不應該能夠修改我們的客戶數據。對此有最佳做法嗎？

這是我要做的（所有在 NTFS 級別，保留您的共享權限）：

1. 創建一個“ReadOnlyAccess”組
2. 將 Auditors 組、contractors 組等添加到“ReadOnlyAccess”
3. 創建員工組
4. 刪除域使用者權限 - 無論如何您都不想這樣做
5. 添加具有工作所需最低權限的員工組
6. 添加具有 R/O 訪問權限的 ReadOnlyAccess 組

您可以一次完成步驟 4-6，因此它不是多個 acl 更新。

現在，每當有人需要 R/O 訪問權限時，您只需將他們添加到“ReadOnlyAccess”組即可，以後無需更新 acl。

引用自：https://serverfault.com/questions/222913