我目前正在设置网络共享。权限运行良好。除非用户属于某个活动目录组,否则他们无法访问文件夹。
我遇到的一个问题是本地管理员登录。我有一小群员工负责定期进行服务器维护。这些用户属于“域管理员”组。一旦他们登录到服务器,他们就可以编辑本地文件夹的权限。这样他们就可以查看文件了。我是唯一的企业管理员。我确实信任这些人,但我不能允许他们在任何情况下查看这些文件。
我曾想过仅通过审核权限变化来起到威慑作用,但这似乎很愚蠢。
我也想过使用 FolderLocker 之类的程序。但是,只有当有一个用户正在读取文件时,它才会起作用。这在当前时间有效,但在将来无效。
答案1
不。没有好的方法可以阻止域管理员成为域管理员。根据定义,域管理员被委托管理整个域及其所有内容。
如果您必须禁止域管理员查看文件,则需要以完全在 Active Directory 之外的方式保护文件。例如,加密文件,或将文件存储在 SQL Server 中等。
答案2
您可以使用 Puppet 之类的程序来确保在该目录上设置了权限,如果更改,则将其恢复为指定设置,或者使用计划任务或组策略来检查权限(例如使用 icacls),如果权限已更改,则将其恢复。这些用户是否需要成为域管理员?也许值得重新评估这一点,因为您不确定他们是否会破坏服务器上的设置。