我目前正在build立一个networking共享。 权限运作良好。 用户无法访问文件夹,除非它们位于特定的活动目录组中。
我的一个问题是本地pipe理员login。 我有一个执行定期服务器维护的小职员。 这些用户位于“域pipe理员”组中。 一旦他们login到服务器,他们可以编辑本地文件夹的权限。 这是让他们查看文件。 我是唯一的企业pipe理员。 我相信个人,但我不能让他们在任何情况下查看这些文件。
我曾经想过审计权限的变化是一种威慑,但这似乎很愚蠢。
我也想过使用像FolderLocker这样的程序。 但是,只有在有一个用户阅读文件的情况下才能工作。 这将在目前的工作,但不会在未来。
没有。保持域pipe理员不是域pipe理员的好办法。 根据定义,域pipe理员被委托给整个域名及其全部内容。
如果您不得不禁止域pipe理员查看这些文件,则需要以完全在Active Directory之外的方式来保护这些文件。 例如,encryption文件,或将文件存储在SQL Server等中
您可以使用像Puppet这样的程序来确保在该目录上设置权限,如果更改,设置回指定的设置,或使用计划任务或组策略来检查权限(例如使用icacls),并设置如果他们被改变,他们会回来。 这些用户是否需要成为域pipe理员? 也许值得重新评估,因为你不确信他们不会在服务器上弄脏设置。