Ocultar documentos de administradores do conjunto de sites

Eu me deparei com essa questão antes em relação ao conteúdo não SP, e acredito que seja mais uma questão de gerenciamento de relações com clientes do que uma questão técnica. O que se resume é que, se os usuários não puderem confiar em seus administradores, eles já estarão ferrados de qualquer maneira, e esse tipo de coisa é o menor dos problemas deles.

OK, eu posso entender a perspectiva do usuário aqui; Algo como taxas de pagamento, avaliações de desempenho e / ou relatórios de RH podem ser razoavelmente arriscados para lidar com o melhor dos tempos, e pode parecer atraente para um administrador se bloquear de um ponto de vista de cobertura de bunda. Mas no final do dia, há muitas situações em que isso pode realmente ser o pior.

Exemplos específicos incluem: como você agora faz backup e restaura os dados? Quem cuida de atribuir permissões a novos usuários? Quem cuida da solução de problemas com a biblioteca? O que vai acontecer daqui a 5 anos quando os dados precisarem ser migrados para um novo servidor? O que acontece se um administrador apenas alterar uma senha de usuário e acessar os dados dessa maneira? O que impede um administrador de apenas dar a si mesmo (ou a uma conta de usuário fictícia) os direitos de acesso necessários? Essas (e mais) são todas as perguntas que precisam ser feitas e respondidas antes que você possa começar a pensar em seguir esse caminho.

Sinto muito que isso não seja uma resposta, mas a realidade é que com qualquer sistema alguém tem que ser o administrador, e ser o administrador significa ter tanto privilégio quanto responsabilidade, e isso também significa que os usuários precisam não apenas Confie, mas acredite em seus ossos que eles podem confiar no admin, e que o administrador tem que respeitar e mostrar que eles merecem esse nível de confiança.

A propósito, para uma resposta técnica, eu seria mais a favor de permitir o registro de acesso nos dados confidenciais e providenciar que os logs sejam disponibilizados para o gerente relevante diariamente, semanalmente ou o que for necessário (ou até mesmo permitir que o gerente relevante visualize os registros diretamente quando e como desejar, de modo a remover qualquer possibilidade de suspeita de outra pessoa adulterá-los).

A criptografia é a única maneira de proteger dados de alguém com acesso físico. No entanto, como mh diz, se você não pode confiar em seus administradores, você tem problemas muito maiores.

A única resposta que posso dar é criar um novo conjunto de sites para os sites que exigem a segurança. Seu novo problema é quem será o administrador desses sites, o que na melhor das hipóteses é algo que é concedido e retirado conforme necessário, e na pior das hipóteses é feito por alguém não qualificado para o cargo.

Além dos administradores do conjunto de sites, como você mantém os administradores do farm? Então você está de volta para as respostas já fornecidas sobre o nível de confiança que você deve depositar em seus administradores.

Basicamente, concordo com a maioria das respostas ao ver isso como representando um cenário bastante estranho. Se o administrador não for confiável, por que há um documento nessa área? No entanto, pode de fato ser feito através de código. Se você criar uma biblioteca de documentos usando código, interromper a herança de permissões e definir as permissões manualmente, somente as permissões manuais serão aplicadas e até mesmo uma concessão subseqüente de controle total do site não alterará isso. A única exceção a isso será o criador original do site (seja usando as páginas da Web ou a pessoa em cujo ID o código foi executado), que manterá acesso total.