我的文件服务器 (Windows 2012 R2) 上有一个网络共享 (SMB),用于保存敏感数据。我正在尝试弄清楚如何限制访问权限,以不允许任何访问共享的人下载文件/文件夹。这可能吗?
答案1
您可以指定谁有权读取和写入文件。但是,如果您授予用户读取文件的权限,他们就可以读取文件。这就是允许他们读取权限的目的。您可以设置权限,这样任何人都无法读取文件,但为什么要将它们放在网络共享中呢?
答案2
这个问题通常通过管理政策而不是技术手段来解决。例如,你可以强迫用户签署一些协议,规定如果他们将文件从网络共享下载到任何其他设备上,则属于终止级违规行为,然后才授予他们访问共享的权限。
您可能还想开启审计在共享上查看谁在访问哪些文件,但我不相信如果他们将文件复制到其他地方,它会提醒您。(如果他们读取或复制文件,审核会告诉您他们访问了该文件。将文件写入另一台设备将需要对另一台设备的写入进行审核。此外,您需要阅读事件查看器才能查看审核信息。)在此过程中,您可能希望禁用 USB 设备,阻止用于访问文件的工作站上对云服务的访问等,但这些都不是保证。
所以,回答你的问题,通过技术手段来阻止它可能无法实现。这就是为什么大多数人会创建管理政策。