使用自動文件系統安全性避免 Windows 域中的安全組
據我了解,最佳實踐建議將安全組與 Windows 域一起使用,以分配對文件和文件夾的權限。也就是說,您應該在 Active Directory 中創建組,用使用者填充它們,然後通過組而不是單個使用者分配對文件夾和文件的權限。我可以看到這種方法的好處,但是:
在我的組織中,我們使用公司資訊系統進行日常運營。每個項目和部門都記錄在系統中,系統知道每個部門和項目屬於誰。我們正在實施一種文件夾同步機制,系統可以通過該機制將權限應用於我們文件伺服器中的共享文件夾,以複製我們的組織結構。例如,如果我們有一個“銷售”部門,其中有成員 Alice 和 Bob,系統將創建一個共享文件夾“Sales”並為其授予 Alice 和 Bob 的權限。這很好用,實際上消除了手動為文件夾和使用者分配權限的需要。
問題是我們不確定 Active Directory 組在這種情況下是否仍然有意義。原則上,我們假設將為每個部門和項目創建一個或多個 AD 組,並像往常一樣為其分配權限。例如,對於銷售部門的負責人和成員,會有 Dept-Sales-Head 和 Dept-Sales-Members 組,每個組都有自己的成員,權限將通過這些組分配。我們的自動化系統能夠創建和管理 AD 組。但是我們擔心隨著我們公司組織實體數量的增加,我們最終會得到太多的組。我似乎記得不建議每個域擁有超過 5000 個組,而且我們很可能在幾年內接近這個數字,因此這種方法無法擴展。
我們正在考慮的另一個選擇是放棄安全組並讓自動化系統使用個人使用者帳戶為文件夾分配權限。這將消除上述問題,但我們擔心像這樣的無組安全方法可能會產生我們現在無法預料的不良後果。
所以我的問題是:這種無組的文件系統權限分配方法是否有意義?從長遠來看,您是否預見到任何不良後果?
這種無組的文件系統權限分配方法是否有意義?
在設計環境時,最佳實踐是由於各種業務或技術原因而偏離的起點。如果使用者可能需要訪問接近 1,000 個的項目 - 這可能是技術原因。
鑑於目前的Active Directory最大值(超過 20 億個對象總數;使用者組成員最多約 1000 個,組成員最多 5,000 個),我相信“我們擔心我們最終會擁有太多組”是無效的技術原因。
但是,如果企業有另一個應用程序可以根據使用者在組織中的角色更新對文件和資源的訪問(這本質上是嵌套的 AD 安全組試圖實現的),那麼這聽起來像是證明跳過的正當理由這個特定的最佳實踐——或者至少注意到它是通過其他方式實現的。好像您不是在討論在 Active Directory 中完全刪除組,只是用於控制對文件共享的訪問的組。
誠然,如果您只是要在 Active Directory 中管理類似組合的組(GPO 的安全過濾、組策略首選項的項目級目標、伺服器/工作站上的使用者權限分配、對 Active 中的對象/分支的委託訪問目錄、AD 或 LDAP 身份驗證對其他應用程序或資源的訪問),那麼僅僅為這件事刪除組可能沒有多大意義。但是,如果我正確閱讀了您的問題,則對組織中資源的一般訪問與對這些基於“每個項目”的文件共享的受控訪問不同。我做對了嗎?
此外,在審查分配對文件共享的訪問權限時,我總是建議查看動態訪問控制。
從長遠來看,您是否預見到任何不良後果?
- 如果應用程序沒有清理過時帳戶的條目,則 SACL 會不必要地長。
- 當沒有實際數據更改時不必要的複制和更大或更長時間的備份,因為文件夾/文件上的 ACL 更改比簡單靜態 ACL 所需的更頻繁。