Назад | Перейти на главную страницу

Как запретить администраторам домена запретить доступ к сетевым папкам?

Насколько я понимаю, если пользователь создает папку, он становится владельцем и может управлять разрешениями NTFS, включая удаление унаследованных разрешений, предоставленных администраторам домена.

Как лучше всего предотвратить отказ администраторам домена в доступе к сетевым папкам? Вот некоторые из подходов, о которых я читал:

  1. Вы не должны пытаться помешать пользователям изменять права доступа к папкам, которые они создают.
  2. Запланируйте сценарий, который берет на себя права собственности на любые папки, к которым администраторы домена не могут получить доступ (вопрос на боковой панели: если вы меняете владельца, заменяет ли это [то есть удаляет] ACE, который предоставил полный контроль первоначальному владельцу?).
  3. Используйте комбинацию разрешений для общего ресурса (изменение и чтение) и разрешений NTFS (изменение), чтобы ограничить возможность аутентифицированных пользователей изменять разрешения. как описано Хельге Кляйн.

вариант, который вы можете развернуть, просто скрывает вкладку разрешений с помощью групповой политики. Это не остановит действительно творческого пользователя, но быстро отсеет большинство, которые могут возиться. В остальном, нет необходимости беспокоиться о праве собственности, пока администраторы имеют полный контроль. Как уже упоминалось, вы всегда можете стать владельцем.

Это больше похоже на проблему управления, чем на техническую. Взять на себя ответственность за сценарий или попытаться заблокировать нескольких людей, которые когда-либо будут играть с разрешениями, - это больше проблем, чем я думаю, это того стоит.

Раньше мы делали личные папки полностью недоступными для администраторов домена, но неизбежно бывают случаи, когда люди звонят и спрашивают: «Можете ли вы проверить что-нибудь в моем личном каталоге?»

Поэтому мы следуем политике, согласно которой администраторы должны иметь возможность читать все (за некоторыми исключениями). Если мы когда-либо сталкиваемся с папкой, в которой кто-то заблокировал доступ администратора, мы выясняем, почему, объясняем, почему мы думаем, что лучше иметь доступ, и возвращаем разрешения к нашим значениям по умолчанию. Если это произошло, когда мы отслеживали проблему, поэтому у нас есть политика: чтобы мы могли просто взять управление под свой контроль в то время и решить ее позже.

С точки зрения безопасности и управляемости, лучшее решение - найти тех, кто отказывает в законном доступе, и заставить их остановиться.

Пользователям и администраторам нижнего уровня нельзя разрешать вмешиваться в вашу способность контролировать и управлять ИТ-инфраструктурой.

Если вам разрешено решать только техническую проблему, не обращая внимания на более крупную проблему, вы будете вынуждены принять технические меры.


Если вам разрешено только восстановить доступ (и не беспокоясь об установлении источника изменения), вам нужно сделать две вещи:

1. Назначьте соответствующие разрешения NTFS

Вы можете сделать это с помощью скрипта с icacls / grant или вы можете сделать это через редактор групповой политики. Перейдите в Конфигурация компьютера> Политики> Параметры Windows> Параметры безопасности> Файловая система.

Если вы делаете это с помощью сценария, вы также можете распространить этот сценарий как сценарий входа / выхода / запуска / выключения через групповую политику.

2. Назначьте соответствующие разрешения SMB.

Это требует сеть команда с Поделиться глагол Например.:

net share SHARENAME /grant:GROUPNAME,PERMISSION

ИМЯ ГРУППЫ необходимо заключить в кавычки, если она содержит пробелы, такие как «DOMAIN \ Domain Admins», а РАЗРЕШЕНИЕ должно быть ЧТЕНИЕ, ЗАПИСЬ или ПОЛНОЕ.


Обратите внимание, что сценарии запуска и завершения работы по умолчанию запускаются как SYSTEM, поэтому у них не должно возникнуть проблем с установкой требуемых разрешений независимо от того, что было настроено для администраторов домена и локальных администраторов.

Если в будущем ваши пользователи станут сообразительными, они могут добавить запись ОТКАЗАТЬ ВСЕ, относящуюся к группе «Администраторы домена». Явная запись DENY имеет приоритет над записью GRANT. Вы также можете удалить эту запись ACL с помощью сценария, так что ее легко победить.

Если они превратят это в гонку вооружений, вы можете выиграть, пока машина присоединена к домену, но это тратит время на обе стороны. Вот почему лучше решать проблему с помощью обучения / правоприменения, а не технических контрмер.