据我所知, 这个线程回答了这个问题 ,pipe理员仍然需要一个ACL来pipe理文件,即使他们有最高权限。 在我的系统上,Administrators组是在驱动器级别使用完全控制并应用于所有子文件夹和文件选项定义的。 现在,我有一个包含敏感数据的应用程序文件夹。 我不希望pipe理员有权访问该文件夹,因为隐私问题。 从这样的文件夹中排除pipe理员是一种常见的做法吗? 如果是的话,将如何影响pipe理人员的日常工作? 我有一个关于上面的链接pipe理权限的答案,但其他任务如备份/恢复例如呢? 谢谢。
如果pipe理员没有给予他们权限的ACL,他们将无法访问该文件。 但是pipe理员可以获取文件的所有权,从而可以设置其权限。
如果你真的想防止未经授权的访问,你应该使用encryption。 注意Windows EFS和内部Microsoft CA颁发的密钥也可能被CApipe理员等访问,因此您可能正在寻找Truecrypt或Bitlocker(不知道如何在“公司环境”中工作)或GPG。
通常你应该相信你的系统pipe理员和服务器本地pipe理员组中的任何人。 我从来没有在我的环境中做过(15个集群服务,〜80TB磁盘空间,〜4000份),但这并不意味着你不能这样做。 如果只有某些人担心访问权限,则可以创build一个包含这些人员的(本地或域)组,并向该文件夹的ACL中添加一个条目,以明确拒绝其访问。
至于备份等,只要您用于备份的帐户在Backup Operators组中,您应该没问题。 它被授予特殊的权限,以便能够执行某些操作(备份,恢复和closures系统),而不pipe它在给定文件夹上的个人权限。
这一切都取决于文件夹的位置。 这是一个本地文件夹?
关于备份,我认为这取决于使用的技术。
请记住,如果他们是Administratros,他们可能能够恢复安全设置。 你不担心有权访问备份的人吗?