我对Sys Admin相对来说比较陌生,并且有这个要求..或者至less是一个要求我们限制访问特定计算机集合的特定文件夹的访问权限(我们的域中包含一个PC机房的OU) 。 我只是不知道这是可能的活动目录。 我感觉到文件系统权限只是为用户/组映射而devise的,并不知道如何去阻止用户修改这些文件,除了在这些电脑上的这个房间(AD容器)中。
这可能吗? 任何build议,欢迎(不pipe如何左场)。
编辑:需要更多的信息,似乎…
我在学校。 我正在应用权限的服务器共享包含用于学校报告function的文件。 我有一系列安全组适用于共享,以便相应的pipe理人员可以访问他们需要的文件,教职员也可以这样做。
除了上述实施要求之外,pipe理层还希望教职员只能在特定的房间里对这些档案进行修改(我相信他们可以被“监督”)。 我在这个房间里为个人电脑设置了AD容器 – 我希望有一个针对这种许可困境的团体政策解决scheme。
这是微软认为的Windows操作系统不适合的一个有趣的领域之一。
除了使用“INTERACTIVE”或“NETWORK” 众所周知的安全标识符(SID)的非常粗略的近似之外,NTFS权限没有任何与基于正在访问的计算机分配权限相关的function。 访问特定资源的用户在访问控制决策中使用,而不pipe访问企图来源的计算机。
如果你想要一个基于组策略的“修复”,我会build议一个丑陋的解决方法。 这是次优的,但它会完成你正在寻找的东西。 (这是非常快速和肮脏的,尤其是,将GPO无差别地放在域名顶部是不太好的,因为一般而言,您希望将最小数量的GPO应用于给定的计算机或用户,以加速组策略。)
在Active Directory中创build一个名为“敏感计算机帐户”的全局安全组。 使所有的电脑帐户“敏感”访问将成为这个组的成员。
在Active Directory中创build名为“敏感用户帐户”的全局安全组。
在Active Directory中为将要执行“敏感”活动的所有人员创build辅助用户帐户。 制作“敏感用户帐户”组的所有这些用户帐户成员。
创build并链接Active Directory顶部的一个名为“限制敏感用户帐户login”的GPO。 在此GPO中,进入“计算机configuration”,“Windows设置”,“本地策略”和“用户权限分配”。 find“本地拒绝login”(如果您是如此倾向于偏执,“拒绝login即服务”和“拒绝login为批处理作业”),并将“DOMAIN \敏感用户帐户”组添加到那个设定。 (这里假定你现在没有使用AD中较低级别的任何这些策略,在W2K-W2K8的股票活动目录中是这样的。)
通过将“敏感计算机帐户”组添加为“拒绝/应用组策略”权限来修改“限制敏感用户帐户login”GPO的权限。
将NTFS权限应用于存储“敏感”文件的文件夹,以仅允许“敏感用户帐户”组成员访问。 (这是一个留给海报的练习…)
这将导致“敏感用户帐户”只能在本地login到“敏感计算机帐户”组中指定的计算机。 通过这种方式,您可以防止访问保存“敏感”文件的文件夹,因为您将权限设置为仅限于“敏感用户帐户”(只能login到“敏感计算机帐户”电脑。)
有用户的二级帐户是真的,真的很丑。 既然你想做一些微软并没有devise操作系统的东西,但是你必须做一些丑陋的事来克服内在的限制。
另一个仍然可能是丑陋但可行的解决scheme是使用Samba服务器托pipe这些共享文件夹。 Samba使用“主机允许”configuration参数,具有基于用户权限和访问来源的源计算机限制对共享文件夹的访问的机制。 如果你没有一个基于nix的服务器(几乎可能),这个方法对你来说没有什么用处。
它是。 你应该看看ACL 。 这些是文件和目录的访问控制列表 。 它们是标准Unix文件权限之上的附加许可层。
你在使用组策略吗? 您可以使用组策略(GPO)为组设置NTFS权限,然后将该GPO应用于特定的AD OU。
这些文件夹在哪里,在房间的计算机上还是在networking上的服务器上?
假设1 | 限制访问networking共享
“ 某些文件夹 ” – 我假设这些文件夹是networking共享,并且不希望OU中的机器的用户有权访问这些(共享)文件夹。 也就是说,这里的“小组”就是被那些有权访问房间里的电脑的人定义的,比如公共图书馆里的用户或者其他东西。
在这种情况下, …
你这样做是错的
通常的方法是限制对用户组的访问,而不是机器,因为很less有机器(在AD中拥有自己的帐户)访问文件共享。 他们所做的情况包括GPO所在的SYSVOL共享,或者为已分配的应用程序安装共享。
假设2 | 限制对本地文件夹的访问
“ 某些文件夹 ” – 在这里我假设这些文件夹在每台计算机的本地文件系统上。 例如,也许有一些C:\Install\中的文件,你不希望用户复制到他们的U盘中。
组策略允许使用文件系统策略 ,
Edit GPO > Computer Configuration > Windows Settings > Security Settings > File System
首先添加文件夹C:\Install ,然后select“属性”,然后修改NTFS权限以拒绝(或不包含)要阻止的用户。 先testing一下。 很多。 我不确定,但我想你会覆盖(而不是添加到)NTFS的特权, 拒绝在这里派上用场。
您也可以通过组策略隐藏整个驱动器,如果您将受限制的文件保留在D:\,用户不会看到驱动器,这将是有用的 – 我不知道这是多么强大,但它在terminal服务器和SoftGrid环境。
顺便说一下,本地login的用户称为INTERACTIVE 。 如果你的操作系统不是英文,这个用户名是本地化的。
限制到电脑似乎不是一个好主意。 我得到你想要达到的目标 – 如果我猜对了 – 我想你有一些敏感的数据(如人力资源logging或类似的),你想明确locking相关的工作人员,即使它以locking您的pipe理员的程度。
我想我们真的需要更多的信息来说明你的目标是什么,而且我认为,回过头来关注你想达到的目标,而不是你想达到的目标,这可能是一个有益的练习。
如果我的猜测是正确的,那么还需要考虑这样做的进一步影响,就干扰备份和恢复的方式以及现在谁要pipe理对这些文件夹的访问而言。
这听起来像你会分割networking,阻止来自任何地方的交通,除了从允许的房间…
如果在OU之外login的用户不需要读取文件夹的访问权限,则可以设置映射驱动器,该映射驱动器仅在有人login到OU中的计算机时映射。 如果他们知道UNC的path,这不会阻止他人进入,但是如果你的用户像我们一样,那么他们就会成功。 这也取决于所涉及的文件夹没有嵌套在正常人需要到达的文件共享的其他部分内。
ETA:
访问被限制的房间是否可以使用该列表来限制networking共享?