审计员很快就会访问我们的办公室,他们需要对我们的数据拥有只读权限。我已经创建了一个域用户帐户,并将其放入名为“审计员”的组中。
我们有一台文件服务器 (Windows Server 2008),其中有大约十个共享文件夹。所有共享都设置为允许经过身份验证的用户完全访问,并使用 NTFS ACL 实现访问限制。大多数文件夹允许“域用户”组完全访问,但审计员不需要进行任何更改。由于我们有大约一百万个文件,因此更新 NTFS ACL 需要几个小时。以下是我目前正在考虑的选项。
- 创建“员工”组来在共享级别分配读/写权限,而不是“域用户”
- 在 NTFS 级别创建一个“staff”组来分配读/写权限,而不是“Domain Users”
- 拒绝在共享级别访问“审核员”组
- 拒绝在 NTFS 级别访问“审核员”组
- 接受现状并信任审计员。
我将来可能需要配置类似的用户,因为我们的一些承包商需要域帐户,但不能修改我们的客户数据。有没有最佳实践?
答案1
以下是我要做的(全部在 NTFS 级别,保留原来的共享权限):
- 创建“ReadOnlyAccess”组
- 将审计员组、承包商组等添加到“ReadOnlyAccess”
- 创建员工组
- 删除域用户权限——无论如何你都不想这样做
- 添加具有工作所需最低权限的 Staff 组
- 添加具有 R/O 访问权限的 ReadOnlyAccess 组
您可以一次性完成步骤 4-6,因此不需要多次 acl 更新。
现在,无论何时有人需要 R/O 访问权限,您只需将其添加到“ReadOnlyAccess”组,无需在将来更新 acl。
答案2
通常,对于共享,我会设置一个本地安全组用于只读访问,另一个本地安全组用于读/写访问。使用 NTFS 安全性为这些组设置适当的权限(为简单起见,将共享权限保留为所有人完全)。
一旦设置了这些组,任何新用户(或组)只需添加到本地安全组中即可获得正确的访问级别,而无需每次更改 NTFS 权限。
因此,对于您的情况,我可能会创建一个 Staff 全局组,并将所有标准用户作为成员。创建两个域本地组,LO_SharedFolders_ReadOnly 和 LO_SharedFolders_ReadWrite,并将 Staff 组添加到 ReadWrite 组,将 Auditors 组添加到 ReadOnly 组。接下来,为本地组授予这些文件夹的适当 NTFS 权限。
然后如果您想授予某些只读访问权限,您需要做的就是将它们添加到相应的本地组。