那些遇到过的问题

为审计师准备的最佳实践 ACL?

Nic*_*Nic 2 windows-server-2008 audit ntfs access-control-list best-practices

一名审计员将很快访问我们的办公室,他们将需要对我们的数据进行只读访问。我已经创建了一个域用户帐户并将它们放入一个名为“Auditors”的组中。

我们有一个包含大约十个共享文件夹的文件服务器 (Windows Server 2008)。所有共享都设置为允许经过身份验证的用户完全访问,并且使用 NTFS ACL 实施访问限制。大多数文件夹允许完全访问“域用户”组,但审核员不需要进行任何更改。因为我们有大约一百万个文件,所以更新 NTFS ACL 需要几个小时。以下是我目前正在考虑的选项。

  • 在共享级别创建一个“员工”组来分配读/写而不是“域用户”
  • 在 NTFS 级别创建一个“staff”组来分配读/写而不是“域用户”
  • 拒绝访问共享级别的“审核员”组
  • 拒绝在 NTFS 级别访问“审核员”组
  • 接受现状并信任审计师。

我将来可能需要配置类似的用户,因为我们的一些承包商需要域帐户,但不应该能够修改我们的客户数据。是否有最佳实践?

Zyp*_*her 6

这是我会做的(全部在 NTFS 级别,保留您的共享权限):

  1. 创建一个“只读访问”组
  2. 将 Auditors 组、contators 组等添加到“ReadOnlyAccess”
  3. 创建员工组
  4. 删除域用户权限 - 您无论如何都不想这样做
  5. 添加具有工作所需最低权限的 Staff 组
  6. 添加具有 R/O 访问权限的 ReadOnlyAccess 组

您可以一次性完成第 4-6 步,因此它不是多次 acl 更新。

现在,每当有人需要 R/O 访问权限时,您只需将他们添加到“ReadOnlyAccess”组,将来无需更新 acl。

归档时间:

查看次数:

1452 次

最近记录:

13 年,9 月 前
相关归档
是否有理由在 Windows Server 上升级 Internet Explorer? 18
与 RDP 断开连接时从服务器屏幕截取屏幕截图 6
NTFS 中的分区块大小和卷块大小有什么区别? 6
管理员文件修改权限 5
如何在 Active Directory 中配置自动登录 4
Server 2008 的 ntrights 等效/替代品 3
在 Windows 和 Linux 中同时从 SAN 挂载 LUN 1
我怎样才能创建一个每日任务,除了在凌晨 12 点到凌晨 2 点之间每 15 分钟重复一次? 1
在 Linux 上挂载 NTFS 硬盘 0
从域控制器中删除文件服务角色 -5
难疑归档
使用 S3 的 Amazon Cloudfront。拒绝访问 126
Linux 命令行最佳实践和技巧? 112
如何在不重新启动屏幕的情况下重新加载 screenrc? 100
http://to./ 到底是怎样一个有效的域名? 71
循环 DNS 是否“足够好”用于负载平衡静态内容? 67
如何从 /dev/urandom 中读取 N 个随机字符? 66
将远程 CIFS/SMB 共享挂载为文件夹而不是驱动器号 59
如果我的服务器配置良好,为什么还需要防火墙? 59
虚拟机是否比底层物理机慢? 57
如何仅使用 A-Records 和 CNAME 记录将域 A 重定向到域 B 57