Назад | Перейти на главную страницу

Управление группами безопасности для разрешений NTFS

Начнем с того, что я работаю в компании, которая давным-давно, когда они реализовали общие файловые ресурсы для каждого подразделения, они также нарушили основное правило разрешений NTFS и использовали явные разрешения для пользователей в определенных папках. Чтобы привести пример нашей настройки, у каждого пользователя есть диск W :. Иерархия дисков W: аналогична следующей:

Вт: \ час

W: \ Legal

W: \ Финансы

W: \ Communications

Я почти уверен, что в какой-то момент эти папки были хорошо организованы. Но затем возникла сложная ситуация, когда кому-то из юридического отдела нужен был доступ к кадровым документам, кому-то из финансового отдела нужен доступ к юридическим документам, а также есть странные случаи, когда 2 разных человека из разных юридических подразделений нуждаются в доступе к определенной папке в юридической папке, но они не хотят, чтобы кто-либо еще имел доступ к этой папке. В то время ИТ-отдел считал, что лучшим решением было бы просто предоставить этим людям явные разрешения.

С тех пор как я начал эту работу 7 лет назад, я намекал на создание групп безопасности для этих экземпляров (даже если это только для одной учетной записи пользователя), потому что, когда пользователи уходят, мы удаляем их из всех групп и помещаем в OU бывших сотрудников в течение 5 лет, но их явные разрешения остаются для папок в общей папке.

Когда я намекаю на создание групп безопасности для этих экземпляров, встречный аргумент звучит так: «Как мы будем управлять всеми пустыми группами, когда люди уйдут? Как нам организовать и назвать эти группы в AD?»

В качестве первого аргумента я предлагаю простой сценарий PowerShell для удаления пустых групп или просто для того, чтобы оставить их на месте для всех будущих сотрудников, запрашивающих такой же доступ к определенным папкам.

Второй аргумент заключается в том, что я не могу найти хорошее решение. Поэтому после этого краткого романа я просто хотел бы попросить совета или примеров по организации групп безопасности в AD для разрешений NTFS в ситуациях, которые я перечислил выше.

Одна из моих мыслей заключалась в том, чтобы создать OU только для специальных групп разрешений NTFS, назвать группы после папок, к которым они предоставляют доступ, и поместить в описание полный путь к файлу.

Если у кого-то есть идеи получше или кто-то сделает это иначе, я открыт для предложений.

По сути, ваши мысли - это то, чем я занимаюсь, и я добился больших успехов в управлении вещами в сложных условиях.

Решение обоих вопросов заключается в том, что вы создаете группы ресурсов которые привязаны к папкам / ресурсам. Вы вообще не удаляете пустые группы, группы существуют до тех пор, пока существует папка или общий ресурс, а не до тех пор, пока в них есть пользователи. Если вы удалили папку, вы удалите связанную группу ресурсов, независимо от того, пуста она или нет.

Вопрос о том, как организовать принципы безопасности в AD, для меня немного загадка - для этого и нужна AD! Вы можете организовать это как хотите!

Вот как я сделай это:

  • Создайте OU в подходящем месте и назовите его чем-нибудь полезным, например «Группы ресурсов».
  • Необязательно: создайте подразделение внутри «Группы ресурсов» и назовите его как-нибудь вроде «Группы папок». Этот шаг в основном заключается в том, чтобы оставить себе место для размещения других групп ресурсов, таких как группы принтеров или группы приложений.
  • Начните просматривать все папки / общие ресурсы, у которых есть ненаследуемые разрешения. Когда вы найдете что-то с ненаследуемыми разрешениями, создайте Локальный домен группа безопасности, названная в честь него. Например, для \\ FileServer01 \ Accounting необходимо создать группу под названием «Папка учета». Обратите внимание, что вы не должны называть группу «Бухгалтерия», потому что группа для папки, а не для отдела. Я предпочитаю сохранять ясность и не имею групп с названием «Бухгалтерский учет». Мне нравится иметь глобальную группу безопасности «Пользователи учета» и локальную группу безопасности домена «Папка учета».
  • В описании новой группы папок введите полный путь UNC или другой способ указать, для какой папки она предназначена. Таким образом не возникает путаницы в отношении того, к какому ресурсу группа разрешает доступ. Например, вы можете сделать описание «\\ FileServer01 \ Accounting» или сделать его «D: \ Shares \ Accounting on FileServer01».
  • Добавьте новую группу в списки ACL в папке и добавьте ACE каждого пользователя или группы пользователей в папке в группу. Позвольте мне пояснить, что: Во-первых, дайте группе «Папка учета» соответствующие разрешения для папки «Учет». Затем перейдите к другим разрешениям в папке учета и добавьте все эти объекты в группу Папка учета, но не добавляйте такие объекты, как «СИСТЕМА» или «СОЗДАТЕЛЬ ВЛАДЕЛЬЦА». Просто добавьте те, которые вам известны, например группу «Бухгалтерия» и отдельные учетные записи, которым предоставлен явный доступ к папке учета. НЕ УДАЛЯЙТЕ НИКАКИХ РАЗРЕШЕНИЙ НА ПАПКУ В ЭТО ВРЕМЯ. Пользователи не получат свой новый доступ на основе созданной вами группы до тех пор, пока в следующий раз они не получат токен безопасности, что обычно происходит при следующем входе в систему. Если вы уберете явные ACE, вы почти наверняка заблокируете людей из папки, и им придется выйти из системы и снова войти в нее, чтобы новая структура разрешений заработала.
  • Продолжайте просматривать все папки, пока не закончите создание новых групп и настройку новой структуры разрешений. После того, как вы убедитесь, что пользователи вышли из системы и вернулись в нее хотя бы один раз (возможно, через несколько недель), вы можете начать с наименее важных папок, чтобы удалить явные ACE в самих папках и убедиться, что у пользователей все еще есть доступ. Вернитесь к списку папок и убедитесь, что у наиболее важных пользователей (HR, Финансы, C-level) есть доступ к соответствующим файлам.
  • НОТА: Возможно, вы уже интересовались ACE, которые имеют разные уровни доступа. Например, учетная запись имеет чтение / запись в папке учета, а генеральный директор - только чтение. В таких ситуациях вам нужно создать несколько групп ресурсов для каждой папки, и я бы посоветовал вам выяснить, как создать не более трех групп для каждой папки и дать им одинаковые имена, и вы сделаете те же самые две или три группы для каждой папки. . Таким образом, вы можете назвать их «Папка учета RW», «Папка учета RO» и «Папка учета FC» (для полного контроля). Надеюсь, у вас нет этой последней категории, но я добился некоторого успеха в делегировании управления разрешениями руководителям отделов, а это означает, что они должны иметь возможность предоставлять разрешения для вложенных папок и файлов, так что это то, что я называю "Полным Контрольная группа. Опять же, если вы создаете группы «RW» и «RO» для одной папки, я предлагаю создать их и для всех других папок, даже если у вас в настоящее время нет ACE с этими разными уровнями доступа, предоставленными для папок. Это поможет сохранить ясность системы групп папок и упростит предоставление различных типов доступа в будущем.

Ноты:

  • Приведенные выше предложения соответствуют лучшим практикам Microsoft. Пользователи помещаются в группы пользователей. Группы ресурсов создаются и получают доступ к ресурсам. Затем группы пользователей и / или пользователи добавляются в соответствующие группы ресурсов. Есть много-много причин, почему это разумный способ управления разрешениями, некоторые из которых я расскажу ниже.
  • Не добавляйте пользователей в группу пользователей только для того, чтобы предоставить им доступ к ресурсу. Например, если у вас есть группа «Пользователи бухгалтерского учета», в которой все участвуют в бухгалтерском учете, не добавляйте генерального директора в группу «Пользователи бухгалтерского учета» только для того, чтобы предоставить им доступ к файлам бухгалтерского учета. Никогда не знаешь, какие непредвиденные последствия могут возникнуть в будущем.
  • Одним из преимуществ этого способа является то, что предоставление доступа к ресурсам через членство в группе происходит быстрее и менее подвержено определенным проблемам. Например, если у вас есть папка «Учет» с более чем 5000 вложенными папками и файлами, все разрешения наследующие от ACL папки «Учет» верхнего уровня, то при добавлении одного пользователя в этот ACL-список папки «Учет» это изменение должно распространиться на все 5000 файлов. и все их ACL должны иметь новый ACE. Используя группу ресурсов, вы просто добавляете пользователя в соответствующую группу, и у него есть доступ. Нулевых изменений ACL.
  • Еще одно огромное преимущество заключается в том, что вы можете легко узнать все ресурсы, к которым имеет доступ конкретный пользователь. С явными ACE единственный способ узнать, к чему может получить доступ пользователь, - это проверить каждый ACL в сети, чтобы увидеть, есть ли у этого пользователя ACE. С группами ресурсов вы просто переходите к пользователю в AD и видите, в какие группы он входит.
  • Наверное, мое любимое преимущество этого метода - вы можете полностью скопировать доступ пользователя ко всем ресурсам, потому что доступ привязан к членству в группах их учетных записей, а не к различным ACL в сети. Ваш финансовый директор имел все виды сумасшедшего доступа к более чем 20 различным папкам по всему файловому серверу, а теперь они вышли на пенсию, и у вас есть новый финансовый директор? Нет проблем! Просто скопируйте учетную запись старого финансового директора, введите новое имя и т. Д., И новый финансовый директор теперь имеет тот же доступ, что и старый! Бонус: вам не нужно делать глупостей, например, поддерживать учетную запись старого финансового директора в рабочем состоянии, чтобы члены исполнительной группы могли «входить в систему как они для доступа к файлам».
  • Также гораздо проще скопировать доступ к ресурсу на другой ресурс или переместить папку. Если вы создаете новый файловый сервер и копируете все файлы на новый сервер, вам не нужно копировать тонну ACE на новый сервер. Просто предоставьте группам ресурсов соответствующие разрешения.
  • Помимо возможности проверять, какой доступ имеет отдельный пользователь, вы можете легко проверять, кто имеет доступ к данному ресурсу. Просто посмотрите на группы ресурсов для ресурса, и вы получите список того, у кого какой тип доступа к этому ресурсу.
  • И последнее: я не понимаю, зачем вам удалять ушедших пользователей из всех групп. Я бы удалил их из групп рассылки электронной почты, но не из групп безопасности. Если вы оставите их в группах безопасности, это даст вам запись о том, какой у них был доступ, а также позволит скопировать эту учетную запись и доступ к ней после того, как они ушли. Иногда люди уходят до того, как будет найдена их замена, поэтому сохранение этой отключенной учетной записи до начала замены помогает обеспечить большую непрерывность операций. Кроме того, иногда люди уходят, а через несколько месяцев возвращаются. Если вы используете корзину AD, вы можете удалить учетную запись через 30 или 60 дней, а затем восстановить ее через год, если пользователь вернется, и все их разрешения могут быть восстановлены одновременно.