Windows Server - 共享文件而无需管理员访问权限

我们有一台基于 MS Windows Server 2008 R8 的服务器，由我们的 IT 部门管理。我们希望同时实现两件事：

• 服务器上的一个文件夹，包含数千个文件（经常添加新文件），一些 ActiveDirectory 用户（例如董事会）可以访问，但 IT 部门员工无法访问
• IT 部门员工仍然保留管理服务器的权利，包括安装新软件和服务

我们已经检查了一些解决方案：

1. 使用 NTFS 访问权限。遗憾的是，IT（“管理员”组的成员）可以将自己设置为文件的新所有者，并更改权限，以便他们能够访问这些文件。
2. 启用 EFS。不幸的是，即使您不允许 IT 访问文件，他们仍然可以完全禁用 EFS，因为他们拥有管理权限。此外，据我所知，您必须为每个新文件手动添加除所有者之外的所有用户的权限 - 非常不方便。
3. 为 IT 部门创建一个新角色，该角色拥有除文件所有权之外的所有权限。遗憾的是，如果您不是管理员组的成员，则无论为该角色添加什么权限，您都无法安装新软件。
4. TrueCrypt - 不错的免费加密软件，但共享功能较差。您可以在服务器上安装加密容器（然后 IT 可以访问其内容），也可以在本地安装，但只有一个用户可以安装它进行写入。
5. AxCrypt - 免费加密软件，可在服务器上对文件进行加密。不过也有一些缺点 - 您必须手动加密每个新添加的文件。文件的扩展名会发生变化。您只能为所有文件设置一个密码（因此所有用户都必须知道这个密码）。

还有其他想法吗？我们的预算有限，所以 Symantec 或 PGP 的企业级软件可能不是一个选择。