Como impedir que os administradores de domínio tenham acesso negado às pastas da rede?

Isso parece mais uma questão de gerenciamento do que técnica. Assumir a posse de um script ou tentar bloquear as poucas pessoas que já jogariam com permissões é mais um problema do que eu acho que valeria a pena.

No passado, tornamos as pastas pessoais completamente inacessíveis aos administradores de domínio, mas, inevitavelmente, as pessoas acessam e perguntam "você pode verificar algo em meu diretório pessoal?"

Portanto, seguimos uma política que os administradores precisam ler tudo (com algumas exceções). Se nos depararmos com uma pasta em que alguém bloqueou o acesso de administrador, descobrimos por que, explicamos por que achamos melhor ter acesso e alteramos as permissões de volta para nosso padrão. Se isso aconteceu enquanto estávamos rastreando um problema, é por isso que temos a política: então poderíamos simplesmente assumir o controle na hora e resolvê-lo depois.

on que você poderia implantar é simplesmente ocultar a guia de permissões por meio da política de grupo. Isso não impedirá que um usuário realmente criativo, mas eliminará rapidamente a maioria que poderia mexer em torno dele. outros que, não há necessidade de se preocupar com a posse, desde que os administradores tenham controle total. Como mencionado, você sempre pode se apropriar.

Do ponto de vista de segurança e capacidade de gerenciamento, a melhor solução é descobrir quem está negando o acesso legítimo e fazê-lo parar.

Usuários e administradores de nível inferior não devem interferir na sua capacidade de monitorar e gerenciar a infraestrutura de TI.

Se você só puder resolver o problema técnico sem abordar o problema maior, será forçado a implementar medidas técnicas.

Se você só puder restaurar o acesso (e não estiver preocupado em identificar a origem da alteração), será preciso fazer duas coisas:

1. Atribuir permissões NTFS adequadas

Você pode fazer isso via script com o comando icacls / grant , ou pode fazê-lo através do editor de Política de Grupo. Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de segurança > Sistema de arquivos.

Se você fizer isso via script, também poderá distribuir esse script como um script de Logon / Logoff / Startup / Shutdown por meio da Diretiva de Grupo.

2. Atribuir permissões SMB adequadas

Isto requer o comando net com o verbo share . Por exemplo:

net share SHARENAME /grant:GROUPNAME,PERMISSION

GROUPNAME precisa ser citado se contiver espaços, como "DOMAIN \ Domain Admins", e PERMISSION deve ser READ, WRITE ou FULL.

Observe que os scripts de inicialização e desligamento são executados como SYSTEM por padrão, portanto, eles não devem ter problemas para configurar as permissões desejadas, independentemente do que foi configurado para os administradores de domínio e administradores locais.

Se seus usuários ficarem espertos no futuro, eles poderão adicionar uma entrada DENY ALL que se aplique ao grupo "Administradores de domínio". A entrada DENY explícita tem precedência sobre sua entrada GRANT. Você pode remover essa entrada da ACL por meio do script, por isso é facilmente derrotada.

Se eles o transformam em uma corrida armamentista, você pode ganhar contanto que a máquina seja unida ao domínio, mas isso desperdiça tempo em ambos os lados. É por isso que é melhor corrigir o problema. problema através da educação / execução, em vez de contramedidas técnicas.