据我了解,如果用户创建文件夹,他们将成为所有者并可以控制 NTFS 权限,包括删除授予域管理员的继承权限。
防止域管理员被拒绝访问网络文件夹的最佳方法是什么?这些是我读过的一些方法:
我们默认管理共享(C$、D$ 等)上的 ACE 表明用户组具有对磁盘根目录的读/写访问权限。在实践中,似乎只有域管理员组才能在根目录下打开这些共享。
有效权限是如何控制的,为什么要这样设置?是否为继承目的建立显式权限?
我正在清理一个没有很好记录的继承域。如何检查特定组或用户在整个 AD 中是否没有 ACE?
诸如在 DACL/SACL 中搜索 AD 对象和文件服务器对象之类的事情。管理员甚至会做那种尽职调查吗?
[编辑] 我还不能添加评论,但我要感谢 Ben 和 Jim 的回复。准备如此周到的答案需要很长时间,因此我尊重他们的慷慨和分享经验的意愿。
感谢您提供检查基于 AD 权限的位置列表 - 非常有帮助。
如果访问被无意中删除,我很欣赏保留空组以重新填充的建议。我已经编写了一些 C# 代码来枚举组成员身份,所以我有那个备份。(我发现它比 PowerShell 更容易使用。)我还使用 sysinternals 工具,如 ShareEnum。
备注/描述字段 - 它们是什么?说真的,我知道它们是什么,但我的前辈没有使用它们。他们也没有使用嵌套组。
security permissions active-directory access-control-list best-practices
我们的文件服务器共享文件夹的共享权限非常不同。特别是,有些似乎已设置为模仿共享的 NTFS 权限。
我知道默认共享权限对每个人都是只读的。
我还阅读了一篇文章,其中建议最佳做法是配置具有完全控制权的经过身份验证的用户的共享权限。
假设我确保这些共享的 NTFS 权限足够安全,那么您会为新的/现有共享推荐什么?