ACLs de melhores práticas para se preparar para auditores?

Navegue suas respostas
2

Um auditor visitará nosso escritório em breve e exigirá acesso somente leitura aos nossos dados. Eu já criei uma conta de usuário de domínio e coloquei-os em um grupo chamado "Auditores".

Temos um único servidor de arquivos (Windows Server 2008) com cerca de dez pastas compartilhadas. Todos os compartilhamentos são configurados para permitir acesso total a usuários autenticados, e restrições de acesso são implementadas com ACLs NTFS. A maioria das pastas permite acesso total ao grupo "Usuários do Domínio", mas o auditor não precisará fazer nenhuma alteração. São necessárias várias horas para atualizar as ACLs do NTFS, já que temos cerca de um milhão de arquivos. Aqui estão as opções que estou considerando atualmente.

  • Crie um grupo "equipe" para atribuir leitura / gravação em vez de "Usuários do domínio" no nível de compartilhamento
  • Crie um grupo "equipe" para atribuir leitura / gravação em vez de "Usuários do domínio" no nível NTFS
  • Negar acesso ao grupo "Auditores" no nível de compartilhamento
  • Negar acesso ao grupo "Auditores" no nível NTFS
  • Aceite o status quo e confie no auditor.

Provavelmente precisarei configurar usuários semelhantes no futuro, já que alguns de nossos contratados exigem uma conta de domínio, mas não devem poder modificar nossos dados de cliente. Existe uma prática recomendada para isso?

    
por Nic 15.01.2011 / 21:59

2 respostas

6

Aqui está o que eu faria (tudo no nível NTFS, deixe suas permissões de compartilhamento como estão):

  1. Crie um grupo "ReadOnlyAccess"
  2. Adicione o grupo de auditores, o grupo de contratadores, etc. ao "ReadOnlyAccess"
  3. Crie o grupo de funcionários
  4. Remover permissões de usuários do domínio - você não quer fazer isso dessa maneira
  5. Adicione o grupo da equipe com as permissões mínimas necessárias para trabalhar
  6. Adicione o grupo ReadOnlyAccess com acesso R / O

Você pode executar as etapas de 4 a 6 de uma só vez, para que não sejam necessárias várias atualizações de acl.

Agora, sempre que alguém precisar acessar R / O, basta adicioná-los ao grupo "ReadOnlyAccess" e não precisar atualizar os acls no futuro.

    
por 15.01.2011 / 22:12
1

Geralmente, para os compartilhamentos, configurei um grupo de segurança local para acesso somente leitura e outro grupo de segurança local para acesso de leitura / gravação. Defina as permissões apropriadas para esses grupos com segurança NTFS (deixe as permissões de compartilhamento como todo mundo para simplificar).

Depois de configurar esses grupos, todos os novos usuários (ou grupos) precisam ser adicionados aos grupos de segurança local para obter o nível correto de acesso, sem a necessidade de alterar as permissões de NTFS a cada vez.

Portanto, para a sua situação, eu provavelmente criaria um grupo global de funcionários com todos os seus usuários padrão como membros. Crie dois grupos locais de domínio, LO_SharedFolders_ReadOnly e LO_SharedFolders_ReadWrite e adicione o grupo Staff ao grupo ReadWrite e o grupo Auditors ao grupo ReadOnly. Em seguida, conceda as permissões NTFS apropriadas a essas pastas para os grupos locais.

Então, se você quiser dar algum acesso somente leitura, tudo o que você precisa fazer é adicioná-los ao grupo local apropriado.

    
por 15.01.2011 / 22:24

Tags

Como faço para ativar a navegação do CUPS em uma rede? Copie arquivos de subdiretórios em um diretório