Назад | Перейти на главную страницу

Windows Server - делитесь файлами без доступа администратора

У нас есть сервер на базе MS Windows Server 2008 R8, который управляется нашим ИТ-отделом. Мы хотим достичь двух вещей одновременно:

Мы уже проверили некоторые решения:

  1. Использование прав доступа NTFS. К сожалению, ИТ-специалисты (члены группы «Администраторы») могут назначить себя новыми владельцами файлов и изменить права доступа, чтобы получить доступ к файлам.
  2. Включение EFS. К сожалению, даже если вы не разрешите ИТ-специалистам получать доступ к файлам, они все равно могут полностью отключить EFS, поскольку у них есть права администратора. Более того, насколько я знаю, вам нужно вручную добавлять разрешения для всех пользователей, кроме владельца для каждого нового файла - очень неудобно.
  3. Создание новой роли для ИТ-отдела, которая имеет все привилегии, кроме владения файлами. К сожалению, если вы не являетесь членом группы администраторов, вы не можете устанавливать новое программное обеспечение, какие бы привилегии вы ни добавляли к роли.
  4. TrueCrypt - хорошая бесплатная программа для шифрования, но с плохими возможностями обмена. Вы можете либо смонтировать контейнер шифрования на сервере (и тогда ИТ-служба получит доступ к его содержимому), либо смонтировать его локально, но только один пользователь может смонтировать его для записи.
  5. AxCrypt - бесплатное программное обеспечение для шифрования, которое позволяет выполнять шифрование файлов на сервере. Однако есть и недостатки - вам придется вручную шифровать каждый новый добавленный файл. У файлов изменены расширения. Вы можете установить только один пароль для всех файлов (поэтому все пользователи должны знать этот пароль).

Есть другие идеи? Наш бюджет ограничен, поэтому программное обеспечение корпоративного класса от Symantec или PGP, вероятно, не подойдет.

Невозможно предоставить ИТ-сотрудникам полный доступ, но при этом сделать папку недоступной для них. Поэтому вам нужно каким-то образом ограничить их. Поскольку у них есть физический доступ к серверу, это должно осуществляться с помощью средств шифрования - это может быть неудобно, но есть только два способа остановить доступ к данным, к которым у кого-то есть физический доступ - шифрование или физическое ограничение.

Я не могу придумать другого выхода.