据我了解,如果用户创建了一个文件夹,他们就成为所有者并可以控制 NTFS 权限,包括删除授予域管理员的继承权限。
防止域管理员被拒绝访问网络文件夹的最佳方法是什么?以下是我读过的一些方法:
- 您不应该试图阻止用户更改他们创建的文件夹的权限。
- 安排一个脚本来接管域管理员无法访问的任何文件夹的所有权(侧栏问题:如果您更改所有者,是否会替换[即删除]授予原始所有者完全控制权的 ACE?)。
- 结合使用共享权限(更改和读取)和 NTFS 权限(修改)来限制经过身份验证的用户更改权限的能力正如 Helge Klein 所描述。
答案1
这似乎更像是一个管理问题,而不是技术问题。利用脚本获取所有权或试图阻止少数人使用权限玩游戏会带来比我认为更麻烦的问题。
过去,我们已经使域管理员完全无法访问个人文件夹,但不可避免地有时会有人打电话询问“您能检查一下我的个人目录中的某些内容吗?”
因此,我们遵循一项政策,即管理员必须能够读一切(少数例外)。如果我们遇到有人阻止管理员访问的文件夹,我们会找出原因,解释为什么我们认为拥有访问权限更好,然后将权限更改回默认权限。如果在我们追踪问题时发生这种情况,这就是我们制定政策的原因:这样我们就可以简单地在当时控制住,然后再解决问题。
答案2
您可以部署的一个选项是通过组策略隐藏权限选项卡。它不会阻止真正有创意的用户,但会迅速清除可能乱动的大多数用户。除此之外,只要管理员拥有完全控制权,就无需担心所有权。如前所述,您可以随时取得所有权。
答案3
从安全性和可管理性的角度来看,最好的解决方案是找出是谁拒绝合法访问并阻止他们。
不应允许用户和下级管理员干扰您监控和管理 IT 基础设施的能力。
如果只允许你解决技术问题而不解决更大的问题,你将被迫实施技术措施。
如果你只被允许恢复访问(并且不担心识别变化的来源),你需要做两件事:
1.分配适当的 NTFS 权限
您可以通过脚本执行此操作icacls /grant命令,或者您可以通过组策略编辑器执行此操作。导航至计算机配置 > 策略 > Windows 设置 > 安全设置 > 文件系统。
如果您通过脚本执行此操作,您还可以通过组策略将该脚本作为登录/注销/启动/关机脚本分发。
2.分配适当的 SMB 权限
这需要网使用命令分享动词。例如:
net share SHARENAME /grant:GROUPNAME,PERMISSION
如果 GROUPNAME 包含空格,则需要用引号引起来,例如“DOMAIN\Domain Admins”,并且 PERMISSION 应该是 READ、WRITE 或 FULL。
请注意,启动和关闭脚本默认以 SYSTEM 身份运行,因此无论域管理员和本地管理员配置了什么,它们都可以毫无问题地设置所需的权限。
如果您的用户将来变得聪明,他们可能会添加适用于“域管理员”组的 DENY ALL 条目。显式 DENY 条目优先于您的 GRANT 条目。您也可以通过脚本删除此 ACL 条目,因此很容易被击败。
如果他们把它变成一场军备竞赛,只要机器加入域,你就可以赢,但这会浪费双方的时间。这就是为什么通过教育/执法而不是技术对策来解决问题更好。