管理 NTFS 权限的安全组

Question

首先，我在一家公司工作，很久以前当他们为每个部门实施文件共享时，他们也打破了 NTFS 权限的基本规则，并对某些文件夹的用户使用了显式权限。举一个我们设置的例子，每个用户都有一个 W: 驱动器。W: 驱动器层次结构类似于以下内容：

女：\人力资源

W:\法律

W:\财务

W:\通讯

我一度很确定，这些文件夹组织得很好。但随后出现了一个复杂的情况，即法律部门的某人需要访问人力资源文件，财务部门的某人需要访问法律文件，还有一些奇怪的情况，来自不同法律部门的 2 个不同的人需要访问法律文件夹中的特定文件夹，但他们不希望其他任何人访问此文件夹。IT 部门当时认为最好的解决方案是向这些人授予明确的权限。

自从我 7 年前开始从事这项工作以来，我一直在暗示为这些实例创建安全组（即使它只为一个用户帐户），因为当用户离开时，我们从所有组中删除它们，并将它们放入前员工 OU 5 年，但他们的明确权限仍保留在文件共享中的文件夹上。

当我暗示要为这些实例创建安全组时，相反的论点是，“当人们离开时，我们将如何管理所有空组？我们将如何在 AD 中组织和命名这些组？”

对于第一个参数，我建议使用一个简单的 powershell 脚本来删除空组，或者只是将它们保留在原位，以供未来要求对特定文件夹具有相同访问权限的员工使用。

不过，第二个论点是我在想出一个好的解决方案时遇到了麻烦。因此，在那篇简短的小说之后，我只想在面对我上面列出的情况时询问有关在 AD 中组织安全组以获得 NTFS 权限的任何提示或示例。

我的一个想法是为特殊的 NTFS 权限组创建一个 OU，以它们授予访问权限的文件夹命名这些组，并将完整的文件路径放在描述中。

如果有人有更好的想法，或者有人以不同的方式这样做，我愿意接受建议。

Answer 1

你的想法基本上就是我所做的，而且我在复杂环境中以这种方式管理事情方面取得了很多成功。

这两个问题的解决方案是创建与文件夹/共享相关联的资源组。您根本不会删除空组，只要文件夹或共享存在，组就会存在，而不是只要其中有用户。如果您删除了该文件夹，那么您将删除关联的资源组，无论它是否为空。

关于如何在 AD 中组织安全原则的问题对我来说有点神秘——这就是 AD 的用途！您可以以任何方式组织它！

这是我的方法：

• 在适当的地方创建一个 OU，并称其为“资源组”等有用的东西。
• 可选：在“资源组”中创建一个 OU，并将其命名为“文件夹组”。这一步主要是给自己留一个地方放置其他资源组，如打印机组或应用程序组。
• 开始浏览所有对它们具有非继承权限的文件夹/共享。当您发现具有非继承权限的内容时，创建一个以它命名的域本地安全组。例如，对于 \\FileServer01\Accounting，您将创建一个名为“Accounting Folder”的组。请注意，您不应将组命名为“Accounting”，因为该组用于文件夹，而不是用于部门。我喜欢让事情更加清晰，没有名为“会计”的组。我喜欢拥有“会计用户”全局安全组和“会计文件夹”域本地安全组。
• 在新文件夹组的描述中，输入完整的 UNC 路径或其他方式来指定它用于哪个文件夹。这样就不会混淆组允许访问的资源。例如，您可以将描述设为“\\FileServer01\Accounting”，或者将其设为“D:\Shares\Accounting on FileServer01”。
• 将新组添加到文件夹上的 ACL，并将文件夹上的每个用户或用户组 ACE 添加到组中。让我澄清一下：首先，为 Accounting Folder 组授予对 Accounting 文件夹的适当权限。然后通过对会计文件夹的其他权限并将所有这些对象添加到会计文件夹组，但不要添加像“SYSTEM”或“CREATOR OWNER”这样的对象。只需添加您知道的那些，例如“会计部门”组和已被授予对会计文件夹的显式访问权限的个人帐户。此时不要删除文件夹的任何权限. 用户在下一次获得安全令牌之前不会根据您创建的组获得新的访问权限，这通常是他们下次登录时。如果您删除显式 ACE，您几乎肯定会将人们锁定在文件夹之外，他们将不得不注销并重新登录才能使新的权限结构正常工作。
• 继续浏览所有文件夹，直到您完成创建新组和设置新权限结构。在您确定用户至少注销并重新登录一次后（可能是几周），您可以从最不重要的文件夹开始，以删除文件夹本身的显式 ACE 并确保用户仍然可以访问。重新浏览文件夹，并确保与最关键的用户（人力资源、财务、C 级）确认他们仍然可以访问适当的文件。
• 笔记：您可能已经想知道授予不同级别访问权限的 ACE，例如，Accounting 具有对会计文件夹的读/写权限，但 CEO 具有只读权限。在这些情况下，您必须为每个文件夹创建多个资源组，我建议您弄清楚如何为每个文件夹创建不超过三个组，并一致地命名它们，并为每个文件夹创建相同的两个或三个. 因此，您可以将它们命名为“Accounting Folder RW”、“Accounting Folder RO”和“Accounting Folder FC”（用于完全控制）。希望你没有最后一个类别，但我在将权限管理委派给部门主管方面取得了一些成功，这意味着他们需要能够授予子文件夹和文件的权限，所以这就是我所说的“

笔记：

• 上述建议遵循 Microsoft 最佳实践。用户被放入用户组。创建资源组并授予对资源的访问权限。然后，将用户组和/或用户添加到适当的资源组。为什么这是管理权限的明智方法，原因有很多，我将在下面讨论其中一些原因。
• 不要将用户添加到用户组只是为了让他们访问资源。例如，如果您有一个会计用户组，每个人都参与会计，不要将 CEO 添加到会计用户组，只是为了让他们访问会计文件。你永远不知道未来会出现什么样的意想不到的后果。
• 这样做的一个优点是通过组成员身份授予对资源的访问权限更快，并且不太容易出现某些问题。例如，如果您有一个包含 5,000 多个子文件夹和文件的 Accounting 文件夹，所有权限都从顶级 Accounting 文件夹 ACL 继承，那么如果您将单个用户添加到该 Accounting 文件夹 ACL，则该更改必须传播到所有 5,000 个文件并且他们所有的 ACL 都必须添加新的 ACE。通过使用资源组，您只需将用户添加到相关组中，他们就可以访问。进行了零 ACL 更改。
• 另一个巨大的优势是您可以轻松找到特定用户可以访问的所有资源。使用显式 ACE，查看用户可以访问的内容的唯一方法是审核网络上的每个 ACL，以查看该用户是否有 ACE。对于资源组，您只需转到 AD 中的用户并查看他们属于哪些组。
• 可能我最喜欢这种方法的优点是您可以完全复制用户对所有资源的访问权限，因为访问权限与其帐户的组成员身份相关联，而不是与网络上的各种 ACL 相关联。您的 CFO 是否拥有对文件服务器上 20 多个不同文件夹的各种疯狂访问权限，现在他们已经退休，而您有了新的 CFO？没问题！只需复制旧 CFO 的帐户，输入新名称等，新 CFO 现在与旧 CFO 拥有完全相同的访问权限！奖励：您不必做一些愚蠢的事情，例如让旧 CFO 的帐户保持正常运行，以便执行团队成员可以“以他们的身份登录以访问文件”。
• 将资源访问权限复制到另一个资源或移动文件夹也更容易。如果您构建一个新文件服务器并将所有文件复制到新服务器，则不必将大量 ACE 复制到新服务器。只需授予资源组适当的权限。
• 除了能够审核单个用户拥有的访问权限之外，您还可以轻松审核谁有权访问给定资源。只需查看资源的资源组，您就会获得一份列表，其中列出了对该资源具有何种类型的访问权限。
• 最后一件事：我不明白你为什么要从所有组中删除离开的用户。我会将它们从电子邮件通讯组中删除，但不会从安全组中删除。将他们留在安全组中可以让您记录他们拥有的访问权限，并且还可以在他们离开后复制该帐户及其访问权限。有时人们在找到替代者之前就离开了，因此在替代者开始之前保留禁用的帐户有助于实现更大的操作连续性。此外，有时人们会离开，然后在几个月后回来。如果你使用 AD 回收站，那么你可以在 30 或 60 天后删除该帐户，然后如果用户回来仍然可以在一年后恢复它，并且他们可以同时恢复所有权限。