我对系统管理员还比较陌生,而且有这个要求……或者至少,有这样一个要求,即我们限制一组特定计算机(我们域中包含一屋子 PC 的 OU)对某些文件夹的访问。我只是不知道这在 Active Directory 上是否可行。我感觉文件系统权限仅设计用于用户/组映射,我无法弄清楚如何尝试阻止用户修改这些文件,除了这些 PC 上的这个屋子(AD 容器)之外。
这可能吗?欢迎提出任何建议(无论多么出乎意料)。
编辑:似乎需要更多信息...
我在一所学校。我应用权限的服务器共享包含用于学校报告功能的文件。我已将一系列安全组应用于共享,以便相应的管理人员可以按需要访问文件,教职员工也可以这样做。
除了上述实施中满足的要求外,管理层还希望教职员工对这些文件进行更改仅有的在一个特定的房间里(我相信这样他们就可以受到“监督”)。我为这个房间里的 PC 设置了 AD 容器 - 我希望有一个组策略解决方案可以解决这个权限困境。
答案1
这是那些有趣的领域之一,它不符合微软在 Windows 操作系统中考虑的用例。
NTFS 权限不具备根据访问的计算机分配权限的任何功能,除了使用“交互式”或“网络”进行粗略的近似之外知名安全标识符 (SID). 访问特定资源的用户将被用于访问控制决策,而不管访问尝试来自哪台计算机。
如果您想要基于组策略的“修复”,我建议您使用一个不太好的解决方法。虽然这不是最理想的方法,但可以实现您的要求。(这种方法非常快捷和粗暴。特别是,将 GPO 随意地放在域的顶部并不是一个好的做法,因为通常您希望将最少数量的 GPO 应用于给定的计算机或用户,以加快组策略的应用。)
在 Active Directory 中创建一个名为“敏感计算机帐户”的全局安全组。使所有将执行“敏感”访问的计算机帐户成为此组的成员。
在 Active Directory 中创建一个名为“敏感用户帐户”的全局安全组。
在 Active Directory 中为所有将执行“敏感”活动的人员创建辅助用户帐户。使所有这些用户帐户成为“敏感用户帐户”组的成员。
在 Active Directory 的顶部创建并链接一个名为“限制敏感用户帐户登录”的 GPO。在此 GPO 中,进入“计算机配置”、“Windows 设置”、“本地策略”和“用户权限分配”。找到“拒绝本地登录”(如果您有这种倾向和疑虑,还可以找到“拒绝以服务身份登录”和“拒绝以批处理作业身份登录”)设置,并将“DOMAIN\Sensitive User Accounts”组添加到设置中。(这假设您目前未在 AD 的较低级别使用任何这些策略。在 W2K-W2K8 中的现有 Active Directory 中,情况确实如此。)
通过添加具有“拒绝/应用组策略”权限的“敏感计算机帐户”组来修改“限制敏感用户帐户登录”GPO 的权限。
将 NTFS 权限应用于存储“敏感”文件的文件夹,以仅允许“敏感用户帐户”组的成员访问。(这是留给发帖人的练习...)
这将导致“敏感用户帐户”只能在本地登录到“敏感计算机帐户”组中命名的计算机。这样,您可以阻止访问包含“敏感”文件的文件夹,因为您将设置权限以限制只有“敏感用户帐户”(只能登录到“敏感计算机帐户”计算机)才能访问这些文件夹。
为用户设置辅助帐户确实非常非常不方便。但是,既然你想做一些微软在设计操作系统时没有考虑到的事情,你就必须做一些不方便的事情来绕过内置的限制。
另一个可能不太好但可行的解决方案是使用 Samba 服务器托管这些共享文件夹。Samba 使用“hosts allow”配置参数,做拥有一种机制,可以根据用户的权限和访问来源计算机来限制对共享文件夹的访问。但是,如果您不想拥有基于 *nix 的服务器(虚拟的,可能),那么这种替代方案对您没什么用。
答案2
是的。你应该看看访问控制列表这些是访问控制列表用于文件和目录。它们是标准 Unix 文件权限之上的附加权限层。
答案3
您是否在使用组策略?您可以使用组策略 (GPO) 为组设置 NTFS 权限,然后将该 GPO 应用于特定的 AD OU。
答案4
限制在计算机上似乎不是一个好主意。我有点明白你想要实现什么,如果我猜得没错的话,我认为你有一些敏感数据(如人力资源记录或类似数据),你想明确地锁定相关员工,即使锁定管理员也无法访问。
我认为我们确实需要更多有关您的目标的信息,并且我认为退一步并专注于您想要实现的目标而不是您想要如何实现目标可能是一种有用的练习。
如果我猜测正确,您还需要考虑这样做的进一步影响,比如它将如何影响您的备份和恢复,以及现在谁将管理这些文件夹的访问权限。