Permitir ao usuário alterar permissões em uma pasta, mas não remover / alterar o acesso de Administradores do Domínio?

4

Somos uma faculdade pequena e tenho um compartilhamento de arquivo para uma equipe de atletismo que desejo passar para o técnico. Não rastreamos ou temos um grupo para membros da equipe esportiva no Active Directory, e o treinador quer excluir determinadas pessoas de determinadas subpastas. Por isso, quero que o treinador possa adicionar / remover contas da equipe dele diretamente no guia de segurança da pasta por conta própria. Ele sabe o suficiente e é conhecedor de tecnologia o suficiente para ser capaz de lidar com isso.

O que eu não quero que ele seja capaz de fazer é adicionar / remover qualquer grupo de administração ou contas especiais: SYSTEM, Network Services (a pasta é usada com um aplicativo web), Domain Admins, AthleticDeptAdmin, etc. / p>

É possível que eu dê a ele acesso para alterar algumas das opções de segurança sem dar acesso para remover essas outras permissões?

    
por Joel Coel 18.07.2012 / 19:17

4 respostas

5

Isso é fácil. Como exemplo: crie uma subpasta chamada "Soccer" e crie um grupo correspondente. Em seguida, delegue a capacidade de alguém no atletismo adicionar ou remover usuários ao grupo de segurança Soccer. Contanto que o grupo Soccer tenha acesso suficiente na ACL NTFS para a pasta Soccer, eles não precisarão tocar nas permissões de arquivo.

As pessoas no grupo de futebol poderão ver a subpasta Soccer.

    
por 18.07.2012 / 20:27
3

A resposta curta é não. Se um usuário puder alterar permissões em algo, ele poderá alterar todas as permissões. Mas se você confia na pessoa para editar as permissões em primeiro lugar, você não pode confiar nelas para não estragá-las removendo as peças importantes? Ou melhor ainda, que tal você confiar neles até que eles estraguem tudo. Em seguida, reavalie a situação.

A única maneira técnica de contornar isso é fornecer algum tipo de front-end para alterar as permissões. O front-end tem o acesso "real" para alterar as permissões, mas apenas permite que o usuário altere as permissões que devem ser editáveis. É um exagero para algo assim, mas teoricamente funcionaria.

* Edit: Eu devo ressaltar que, mesmo que eles removam os privilégios do Administrador do Domínio da pasta, isso não significa que você perderá o acesso para sempre. Significa apenas que seu aplicativo está corrompido até que alguém perceba o que aconteceu e restabeleça as permissões corretas. Como administrador de domínio, você sempre poderá redefinir a propriedade da pasta e adicionar novamente as permissões.

    
por 18.07.2012 / 19:25
2

Não.

Se você tiver acesso para alterar as permissões, poderá alterar as permissões, incluindo as permissões de administradores e contas especiais.

Uma alternativa que pode funcionar para você é configurar a pasta para herdar as permissões de uma pasta pai na qual ele não pode alterar as permissões. Defina as permissões que você não quer que ele possa alterar lá em cima e propague essas permissões. Claro, ele seria capaz de desabilitar permissões herdáveis e remover essas permissões, mas não há muito o que fazer sobre isso ... além de dizer a ele para não fazê-lo, e avisá-lo de que, se ele fizer isso, você vai revogar permissões de alteração de acesso, e aplicar as permissões que você acha que são apropriadas a partir de então.

(Eu achei que muito eficaz - "Aqui está o seu acesso, não faça [blah] com ele, ou geralmente transar com ele, porque se você fizer isso, eu vou arrancá-lo e você vai se encontrar sujeito à minha agenda, caprichos e malevolência geral. ")

EDIT: Eu realmente tive outro pensamento para uma possível solução, como eu fui atribuído um Problema do AdminSDHolder . Sempre é possível escrever um script para verificar as permissões nessa árvore de diretórios em intervalos regulares (digamos, a cada hora), apropriar-se da propriedade, se necessário, e reaplicar as permissões desejadas / necessárias além do que o coach deseja.

Honestamente, parece mais problema do que vale a pena para mim, quando é muito mais fácil avisar / ameaçar o usuário contra a burrice, mas YMMV. E agora que penso nisso, isso pode ser uma solução para um problema no meu ambiente também ... então, obrigado por perguntar e me levar a pensar nisso.

    
por 18.07.2012 / 19:27
1

Configure um grupo para o Departamento de Atletismo e conceda as permissões necessárias (ou possivelmente vários grupos, se você quiser oferecer suporte a diferentes perfis de permissão, como Somente Leitura, Leitura-Gravação, etc.). Em seguida, delegue o controle do grupo no Active Directory para que o coach possa adicionar / remover usuários desse grupo.

Primeiro resultado no Google para delegar o controle de grupo no AD: link

Editar: eu queria deixar claro que você está criando os grupos especificamente para conceder permissões, então você não gostaria de usar nenhum grupo de Atletismo existente.

    
por 18.07.2012 / 21:13