我正在运行用户文件共享Windows 2008R2。
我担心的是域管理员访问他们不应该访问的某人的文件。
我已启用高级审核并测试了结果。当有人在文件夹中执行任何操作时,我都会看到read/delete违规者userid's,但显示为Event ID 5145。当真正的用户访问他们自己的文件夹时,也会显示为Event ID 5145。
我的工作地点有超过 10004000名用户,因此每次有人使用自己的文件时发出警报的选项是不可行的。我不能只在发生故障时触发,因为域管理员有权访问这些文件。
放置“仅限用户”而不是用户和管理员不是一个选择,因为我们的备份将无法读取数据。
有人有什么建议吗?
答案1
我们有一个单独的中央日志记录设备逻辑逻辑我们将所有系统日志转发到该服务器。这反过来又使我们能够更详细地了解警报方式和时间。如果您有这样的解决方案,我建议您使用。
答案2
请参阅 voretaq7 的评论。你真的必须相信他们。但是,核实他们在做什么以及他们是否需要访问权限也并非不合理。
我们更进一步。我们定义了共享访问权限(实际上是 NTFS,而不是共享级权限),以便域管理员对大多数共享没有明确的读取权限。我们为此创建了一个 Mgmt Security 组,该组通常是空的。当然,域管理员可以将自己添加到该组中,因此每次该组成员身份发生变化时,网络管理员都会收到警报。
如果发生共享问题,域管理员始终有权根据其权利主张对任何文件的所有权。
现在正在部署事件日志,并且我们还在通过部署 AD Mgmt 工具(Quest 的 Active Roles Server)来严格限制域管理员组中的人数。