É possível gerenciar o acesso ao sistema de arquivos por computador (ou por contêiner)?

2

Sou relativamente novo no Sys Admin e há esse requisito. ou, pelo menos, a necessidade de restringir o acesso a determinadas pastas de um determinado conjunto de computadores (uma unidade organizacional em nosso domínio que contém uma sala de PCs). Eu só não sei se isso é possível no diretório ativo. Tenho a impressão de que as permissões do sistema de arquivos são projetadas apenas para mapeamento de usuários / grupos e não consigo descobrir como eu poderia impedir os usuários de modificar esses arquivos, exceto nesta sala (contêiner do AD) nesses computadores.

Isso é possível? Todas as sugestões são bem-vindas (não importa o quão longe seja o campo).

EDITAR: mais informações são necessárias parece ...

Eu estou em uma escola. O compartilhamento de servidor ao qual estou aplicando permissões contém arquivos usados para funções de relatório da escola. Eu tenho uma série de grupos de segurança aplicados ao compartilhamento, de modo que a equipe administrativa apropriada possa acessar os arquivos da forma que precisam e a equipe do corpo docente possa fazer o mesmo.

Além dos requisitos satisfeitos na implementação acima, a gerência deseja que a equipe do corpo docente faça alterações nesses arquivos somente em uma sala específica (de modo que eles possam ser "supervisionados", acredito). Eu tenho os contêineres de AD configurados para os PCs nesta sala - eu estava esperando que houvesse uma solução de política de grupo para essa situação de permissão.

    
por cottsak 08.11.2009 / 13:01

7 respostas

4

Esta é uma daquelas áreas interessantes que não se encaixam em um caso de uso que a Microsoft pensou com o sistema operacional Windows.

As permissões de NTFS não têm nenhuma funcionalidade relacionada à atribuição de permissões com base no computador que está acessando, a não ser uma aproximação muito grosseira usando o "INTERATIVO" ou "NETWORK" identificadores de segurança conhecidos (SIDs) . O usuário que acessa o recurso específico é usado na decisão de controle de acesso, independentemente do computador do qual a tentativa de acesso foi originada.

Se você quiser uma "correção" com base na Política de Grupo, sugiro uma solução alternativa desagradável. É sub-ótimo, mas vai conseguir o que você está procurando. (Isso é muito rápido e sujo. Em particular, não é realmente bom colocar os GPOs na parte superior do domínio indiscriminadamente, porque em geral você deseja que o menor número de GPOs se aplique a um determinado computador ou usuário para acelerar a aplicação de Diretiva de Grupo.)

  • Crie um grupo de segurança global denominado "Contas de computador sensíveis" no Active Directory. Faça todas as contas de computador onde o acesso "Sensível" será realizado aos membros deste grupo.

  • Crie um grupo de segurança global denominado "Contas de usuários confidenciais" no Active Directory.

  • Crie contas de usuário secundárias no Active Directory para todas as pessoas que realizarão as atividades "confidenciais". Torne todas essas contas de usuários membros do grupo "Contas de usuários confidenciais".

  • Crie e vincule um GPO na parte superior do Active Directory chamado "Restringir Logons de Conta de Usuário Sensível". Neste GPO, vá em "Configuração do Computador", "Configurações do Windows", "Políticas Locais" e "Atribuição de Direitos do Usuário". Localize o "Negar logon localmente" (e, se você estiver tão inclinado e paranóico, a configuração "Negar logon como um serviço" e "Negar logon como um trabalho em lotes") e adicione o grupo "Contas de usuário DOMAIN \ Sensitive" ao a configuração. (Isso pressupõe que você não esteja usando nenhuma dessas políticas atualmente nos níveis mais baixos do AD. Em um Active Directory de estoque no W2K-W2K8 isso seria verdade.)

  • Modifique as permissões do GPO "Restringir os Logons de Conta de Usuário Sensível" adicionando o grupo "Contas de Computador Sensíveis" com a permissão "Negar / Aplicar Diretiva de Grupo".

  • Aplique permissões de NTFS às pastas em que os arquivos "Sensíveis" estão armazenados para permitir que apenas membros do grupo "Contas de usuários confidenciais" acessem. (Este é um exercício deixado para o cartaz ...)

Isso fará com que as "Contas de usuário confidenciais" possam fazer logon localmente apenas nos computadores nomeados no grupo "Contas de computador confidenciais". Dessa forma, você pode impedir o acesso às pastas que contêm os arquivos "Sensíveis", pois você definirá as permissões para limitar o acesso a essas pastas apenas às "Contas de usuário confidenciais" (que só podem fazer logon nas "Contas de computador sensíveis") computadores.)

Ter contas secundárias para usuários é muito, muito ruim. Como você quer fazer algo para o qual a Microsoft não tenha projetado o sistema operacional, no entanto, você precisa fazer algo feio para contornar as limitações inerentes.

Outra solução, ainda potencialmente feia mas viável, seria hospedar essas pastas compartilhadas com um servidor Samba. O Samba, usando o parâmetro de configuração "hosts allow", tem um mecanismo para limitar o acesso a pastas compartilhadas com base na permissão do usuário e no computador de origem a partir do qual o acesso está chegando. Se você não quer ter um servidor baseado em * nix por aí (virtualmente, possivelmente), essa alternativa não faz muito bem.

    
por 08.11.2009 / 23:24
1

É. Você deve dar uma olhada em ACL s. Estas são Listas de controle de acesso para arquivos e diretórios. Eles são uma camada de permissão adicional além das permissões de arquivo padrão do Unix.

    
por 08.11.2009 / 14:26
1

Você está usando políticas de grupo? Você pode definir permissões de NTFS para grupos usando diretivas de grupo (GPOs) e depois aplicar esse GPO a uma UO AD específica.

    
por 08.11.2009 / 14:58
0

Onde estão essas pastas, nos computadores da sala ou nos servidores da sua rede, em algum lugar?

Suposição No.1 | Restringir o acesso a compartilhamentos de rede

" determinadas pastas " - Estou assumindo que essas pastas são compartilhamentos de rede e que você não deseja que os usuários das máquinas na UO tenham acesso a essas pastas (compartilhadas). Ou seja, o "grupo" aqui está sendo definido por aqueles com acesso físico aos computadores da sala, como usuários de uma biblioteca pública ou algo assim.

Nesse caso, ...

Você está fazendo errado
O método usual é restringir o acesso a grupos de usuários ao invés de máquinas, já que é raro que máquinas (que possuem suas próprias contas no AD) acessem compartilhamentos de arquivos através da rede. Casos em que eles incluem o compartilhamento SYSVOL no qual os GPOs residem ou instalam compartilhamentos para os aplicativos atribuídos.

  1. Defina as permissões NTFS nas pastas nos servidores para negar (ou não incluir) os usuários que você deseja manter fora.
  2. Você também pode definir as permissões de compartilhamento para negar (ou não incluir) os usuários que deseja manter. Mas bem como, não em vez de (1).
  3. O acesso a essas pastas não pode ser (como em "should not be") determinado por qual máquina você está usando, mas sim quem você é, o que você estabeleceu ao fazer login no domínio.


Suposição No.2 | Restringir o acesso a pastas locais

" determinadas pastas " - aqui estou assumindo que essas pastas estão no sistema de arquivos local de cada computador. Talvez haja alguns arquivos em C:\Install\ que você não queira que os usuários copiem para seus pendrives, por exemplo.

A Política de Grupo permite as políticas do sistema de arquivos ,

Edit GPO > Computer Configuration > Windows Settings > Security Settings > File System  

Primeiro, adicione a pasta C:\Install , escolha Propriedades e modifique as permissões do NTFS para negar (ou não incluir) os usuários que você deseja bloquear. Teste primeiro. Muito. Não tenho certeza, mas acho que você estará sobrescrevendo (não adicionando) as permissões do NTFS, Negar é útil aqui.

Você também pode ocultar unidades inteiras por meio da Diretiva de Grupo, o que seria útil se você mantivesse seus arquivos restritos em D: \, os usuários não veriam a unidade - não tenho certeza de como isso é robusto, mas é muito popular ambientes de servidor de terminal e SoftGrid.

O usuário conectado localmente é chamado INTERACTIVE , a propósito. E esse nome de usuário está localizado, se o seu sistema operacional não for inglês.

    
por 08.11.2009 / 16:53
0

Restringir aos computadores simplesmente não parece uma ótima idéia. Eu meio que entendo o que você quer alcançar, e - se estou acertando - estou pensando que você tem alguns dados confidenciais (como registros de RH ou similares) que você quer bloquear definitivamente para a equipe relevante, mesmo que seja até o ponto de bloquear seus administradores.

Acho que realmente precisamos de mais informações sobre qual é o seu objetivo aqui, e acho que voltar atrás e focar no que você quer alcançar, e não em como você quer alcançá-lo, pode ser um exercício útil.

Se eu estou bem no meu palpite, você também precisa pensar sobre as implicações adicionais de fazer isso, em termos de como isso vai interferir no seu backup e restauração, e em termos de quem agora vai gerenciar o acesso a esses pastas.

    
por 08.11.2009 / 18:49
0

Parece que você segmentaria a rede e bloquearia esse tipo de tráfego de qualquer lugar, exceto dos quartos permitidos ...

    
por 08.11.2009 / 21:00
0

Se as pessoas que fizerem logon fora da unidade organizacional não precisarem de acesso de leitura às pastas, você poderá configurar uma unidade mapeada que só mapeia quando alguém faz login em um computador com a unidade organizacional. Isso não impedirá que outras pessoas cheguem a ele se conhecerem o caminho da UNC, mas se seus usuários forem como os nossos, ele fará o truque. Isso também depende das pastas em questão não serem aninhadas em outras partes de seus compartilhamentos de arquivos que as pessoas normais precisam acessar.

ETA:

O acesso à sala é restrito de forma que você possa usar essa lista para restringir o compartilhamento de rede?

    
por 08.11.2009 / 15:00