我们有一台基于 MS Windows Server 2008 R8 的服务器,由我们的 IT 部门管理。我们希望同时实现两件事:
- 服务器上的一个文件夹,包含数千个文件(经常添加新文件),一些 ActiveDirectory 用户(例如董事会)可以访问,但 IT 部门员工无法访问
- IT 部门员工仍然保留管理服务器的权利,包括安装新软件和服务
我们已经检查了一些解决方案:
- 使用 NTFS 访问权限。遗憾的是,IT(“管理员”组的成员)可以将自己设置为文件的新所有者,并更改权限,以便他们能够访问这些文件。
- 启用 EFS。不幸的是,即使您不允许 IT 访问文件,他们仍然可以完全禁用 EFS,因为他们拥有管理权限。此外,据我所知,您必须为每个新文件手动添加除所有者之外的所有用户的权限 - 非常不方便。
- 为 IT 部门创建一个新角色,该角色拥有除文件所有权之外的所有权限。遗憾的是,如果您不是管理员组的成员,则无论为该角色添加什么权限,您都无法安装新软件。
- TrueCrypt - 不错的免费加密软件,但共享功能较差。您可以在服务器上安装加密容器(然后 IT 可以访问其内容),也可以在本地安装,但只有一个用户可以安装它进行写入。
- AxCrypt - 免费加密软件,可在服务器上对文件进行加密。不过也有一些缺点 - 您必须手动加密每个新添加的文件。文件的扩展名会发生变化。您只能为所有文件设置一个密码(因此所有用户都必须知道这个密码)。
还有其他想法吗?我们的预算有限,所以 Symantec 或 PGP 的企业级软件可能不是一个选择。
答案1
不可能让 IT 员工拥有完全访问权限,同时又让他们无法访问文件夹。因此,您需要以某种方式限制他们。因为他们可以物理访问服务器,所以这需要通过加密手段来实现——这可能不方便,但只有两种方法可以阻止某人访问可以物理访问的数据——加密或物理限制。
我想不出解决这个问题的其他方法。