我正在Windows 2008R2上运行用户文件共享。
我关心的是域pipe理员访问他们不应该的文件。
我开启了高级审计并对结果进行了testing。 我看到有人在文件夹中做任何事情时, read/delete违规者的userid's但它作为Event ID 5145遇到。当真正的用户访问自己的文件夹,它也作为Event ID 5145 。
我的工作地点有超过4000用户,所以每次有人使用他们自己的文件时提醒提醒是不可行的。 我不仅可以触发失败,因为域pipe理员将有权访问文件。
因为我们的备份将无法读取数据,所以放置“用户唯一”而不是用户和pipe理员不是一个选项。
任何人有任何build议?
我们有一个来自LogLogic的单独的中央日志logging设备,我们将所有的系统日志转发给。 这反过来又使我们更加精确地知道如何以及何时发出警报。 我build议使用这样的解决scheme,如果你有一个。
请参阅voretaq7的评论。 你真的不得不相信他们。 但是,validation他们在做什么和访问的需要并不是没有道理的。
我们更进一步。 我们已经定义了我们的共享访问权限(实际上是NTFS,而不是共享级别的权限),以便Domain Admins不具有对大多数共享的显式读取权限。 我们为此创build了一个通常为空的pipe理安全组。 当然,域pipe理员可以将他们自己添加到这个组中,所以每当这个组成员变化时,networkingpipe理员都会收到警报。
在发行股票的情况下,域名pipe理员总是有权因其权利而要求拥有任何文件的所有权。
现在正在部署事件日志logging,我们也正在通过部署AD Mgmt工具(来自Quest的Active Roles Server)来严格限制我们域pipe理员组中的人员数量。