У меня есть общий сетевой ресурс (SMB) на нашем файловом сервере (Windows 2012 R2), который будет хранить конфиденциальные данные. Я пытаюсь выяснить, как я могу ограничить доступ, чтобы никто, имеющий доступ к общему ресурсу, не мог загружать файлы / папки. Это возможно?
Вы можете указать, кто имеет права на чтение и запись файлов. Но если вы дадите пользователям право читать файлы, они смогут читать файлы. В этом смысл предоставления им доступа для чтения. Вы можете установить права, чтобы никто не мог читать файлы, но тогда зачем помещать их в общий сетевой ресурс?
Это проблема, которая обычно решается с помощью административной политики, а не с помощью технических средств. Например, вы можете заставить пользователей подписать что-то, говорящее, что если они загружают файлы из общей сетевой папки на любое другое устройство, это нарушение на уровне завершения, прежде чем предоставить им разрешения на доступ к общей папке.
Вы также можете захотеть включить аудит на общей папке, чтобы узнать, кто к каким файлам обращается, но я не верю, что он предупредит вас, если они скопируют файлы в другое место. (Аудит сообщит вам, что они получили доступ к файлу, если они прочитали или скопировали его. Запись файла на другое устройство потребует аудита на другом устройстве для записи. Кроме того, вам нужно будет прочитать средство просмотра событий, чтобы увидеть информацию аудита.) Пока вы это делаете, вы, вероятно, захотите отключить USB-устройства, заблокировать доступ к облачным службам на рабочих станциях, используемых для доступа к файлам, и т. Д., И ничто из этого не является гарантией.
Итак, отвечая на ваш вопрос, вероятно, предотвратить это техническими средствами невозможно. Вот почему большинство людей вместо этого создают административную политику.