最佳实践建议-文件夹安全(windows环境)

Question

我所在公司的一位高管要求我设置特定网络文件夹的权限，这样只有他们才能访问它。我通常不这么做，但在这种情况下，我需要关于这方面的最佳实践的建议？

我是这样想的：

• 从文件夹中删除继承的权限
• 从文件夹中删除“每个人”组
• 从文件夹中移除用户组
• 确保用户对象具有完全权限
• 确保域管理员组具有完全权限

有什么想法？

谢谢。

Answer 1

虽然我不同意域管理员的观点，但大多数情况下，您是在正确的轨道上。

既然您提到了最佳实践，我将首先声明，即使安全组中只有一个成员，您也应该只使用安全组来分配权限和特权。考虑基于角色的而不是基于个人的用户。在一个较小的组织中，这是较少的important...but最佳实践和全部。

管理员可能指的是本地、域管理员、企业或任何适用于您的环境的东西。

在大多数情况下，按照您的建议中断继承是合适的，并且只授予需要访问和系统的用户/组的访问权限。根据内容和环境的不同，许多管理员也会离开管理员。用户(S)应被告知，他们可以锁定自己等，因为他们是唯一的所有者，等等。

应该特别考虑备份和恢复。应该备份这个目录/共享吗？备份是否在备份/还原时保护ACL？您的备份解决方案是否使用SeBackupPrivilege，它允许尽管有ACL进行备份(大多数是这么做，但一些简单的不允许备份)？不仅要在生产中维护安全，而且要通过备份和恢复.这在SOX、HIPAA或PCI等符合法规要求的环境中尤为重要。

请记住，作为管理员，您可以更改文件或目录对象的所有权，然后更改权限，以便在需要时修复任何内容。这就是为什么管理员经常被从ACL中删除的原因。这通常是适当的，因为这类活动将被记录或审计。如果您仅通过更改所有权获得访问权限，则不能指责您访问敏感数据而没有证据;-)