Назад | Перейти на главную страницу

Лучшие практики ACL для подготовки аудиторов?

Вскоре к нам в офис приедет аудитор, и ему потребуется доступ только для чтения к нашим данным. Я уже создал учетную запись пользователя домена и поместил их в группу под названием «Аудиторы».

У нас есть один файловый сервер (Windows Server 2008) с примерно десятью общими папками. Все общие ресурсы настроены для предоставления полного доступа аутентифицированным пользователям, а ограничения доступа реализованы с помощью списков контроля доступа NTFS. Большинство папок обеспечивают полный доступ к группе «Пользователи домена», но аудитору не нужно вносить никаких изменений. Обновление списков ACL NTFS занимает несколько часов, так как у нас около миллиона файлов. Вот варианты, которые я сейчас рассматриваю.

Создайте группу «сотрудников», чтобы назначить чтение и запись вместо «Пользователи домена» на уровне общего доступа.
Создайте группу «сотрудников» для назначения чтения / записи вместо «Пользователи домена» на уровне NTFS.
Запретить доступ к группе «Аудиторы» на уровне акций
Запретить доступ группе «Аудиторы» на уровне NTFS
Примите статус-кво и доверяйте аудитору.

В будущем мне, вероятно, потребуется настроить подобных пользователей, поскольку некоторым из наших подрядчиков требуется учетная запись домена, но они не должны иметь возможность изменять данные наших клиентов. Есть ли лучший способ для этого?

Вот что я бы сделал (все на уровне NTFS, оставьте права доступа к общим ресурсам такими, какие они есть):

Создайте группу «ReadOnlyAccess»
Добавьте группу Auditors, группу contrators и т. Д. В ReadOnlyAccess.
Создать группу персонала
Удалите разрешения для пользователей домена - вы все равно не хотите этого делать
Добавьте группу сотрудников с минимальными разрешениями, необходимыми для работы
Добавьте группу ReadOnlyAccess с доступом R / O

Вы можете выполнить шаги 4–6 за один раз, чтобы не было многократных обновлений acl.

Теперь, когда кому-то нужен R / O доступ, все, что вам нужно сделать, это добавить их в группу «ReadOnlyAccess», нет необходимости обновлять ACL в будущем.

Обычно для общих ресурсов я настраиваю локальную группу безопасности для доступа только для чтения и другую локальную группу безопасности для доступа для чтения / записи. Установите соответствующие разрешения для этих групп с безопасностью NTFS (для простоты оставьте разрешения для общих ресурсов, как у всех).

После того, как вы настроили эти группы, любых новых пользователей (или групп) просто нужно добавить в локальные группы безопасности, чтобы получить правильный уровень доступа, нет необходимости каждый раз изменять разрешения NTFS.

Поэтому для вашей ситуации я бы, вероятно, создал глобальную группу Staff, в которую войдут все ваши стандартные пользователи. Создайте две локальные группы домена, LO_SharedFolders_ReadOnly и LO_SharedFolders_ReadWrite, и добавьте группу Staff в группу ReadWrite и группу Auditors в группу ReadOnly. Затем предоставьте соответствующие разрешения NTFS этим папкам для локальных групп.

Затем, если вы когда-нибудь захотите предоставить доступ только для чтения, все, что вам нужно сделать, это добавить их в соответствующую локальную группу.