配置 NTFS 權(quán)限創(chuàng)建一個文件服務(wù)器權(quán)限策略,明確定義您的權(quán)限管理過程����。 隨處使用Active Directory 組。不要將 NTFS 權(quán)限分配給個人�,即使必須創(chuàng)建數(shù)百個組。管理 200 個組比管理 2,000 個一次性權(quán)限要容易得多��。 為資產(chǎn)配置 NTFS 權(quán)限,為這些權(quán)限分配角色���,并將人員分配給角色���。例如,假設(shè)在fileserver1上有一個名為HR的共享��。 可執(zhí)行下列操作:
對于此共享�����,在 AD 中創(chuàng)建以下具有所示權(quán)限的域本地組: 使用這些組將 NTFS 權(quán)限設(shè)置為適當(dāng)?shù)挠脩魴?quán)限�����。 在 AD 中為 HR 人員創(chuàng)建一個名為HR的全局組�。將此全局組添加到域本地組fileserver1_HR_read中,然后將用戶賬戶添加到全局組HR中?���,F(xiàn)在所做的是將資產(chǎn)綁定到權(quán)限,并將權(quán)限綁定到角色�����。隨著擴(kuò)展網(wǎng)絡(luò)并為角色添加不同的資產(chǎn)和訪問區(qū)域,將能夠輕松查看角色可以訪問哪些資產(chǎn)����。
人員(用戶賬戶)-> 角色(AD 全局組)-> 權(quán)限(AD 域本地組)-> 資產(chǎn)(文件服務(wù)器上的文件或文件夾) 避免給用戶完全控制權(quán)限。完全控制使用戶能夠更改 NTFS 權(quán)限���,普通用戶不需要這樣做。大多數(shù)用戶只需要修改權(quán)限即可�����。 分配仍然允許用戶執(zhí)行其工作的最嚴(yán)格的權(quán)限�。例如,如果用戶只需要讀取文件夾中的信息��,而不需要更改�、刪除或創(chuàng)建文件,則僅分配讀取權(quán)限�。 從除指定用于文件交換的全局文件夾之外的每個資源中刪除所有人權(quán)限。 創(chuàng)建一個全局拒絕組���,以便當(dāng)員工離開公司時��,可以通過使他們成為該組的成員來快速刪除他們所有的文件服務(wù)器訪問權(quán)限�。 盡可能避免破壞權(quán)限繼承。會有一些文件夾可能需要這樣做�����,但通常避免使用它�����。如果某些東西會破壞繼承����,那么它要么需要提升一個級別,要么需要重新評估誰對父文件夾擁有什么權(quán)限����。例如,如果需要授予某人對所有\Finance文件夾而不是\Finance\Budget的讀/寫權(quán)限�,那么以后會遇到麻煩。 讓用戶使用域用戶賬戶而不是本地賬戶登錄��。這種方法集中了共享權(quán)限的管理���。 - 所有權(quán)限更改都應(yīng)在發(fā)生時進(jìn)行審核�,并且權(quán)限層次結(jié)構(gòu)應(yīng)至少每年審核一次。
配置文件共享
創(chuàng)建一個頂級文件夾���,作為所有用戶創(chuàng)建數(shù)據(jù)的根存儲文件夾(例如��,C:\Data)��。在其中創(chuàng)建子文件夾����,以根據(jù)工作角色和安全要求隔離和組織數(shù)據(jù)����。 確保只有 IT 可以創(chuàng)建根級文件夾���。甚至不要讓經(jīng)理或行政人員在最高 1 或 2 層創(chuàng)建文件夾�。如果不鎖定根級層次結(jié)構(gòu)��,整潔的文件夾結(jié)構(gòu)將很快被破壞�。部門可以按照自己的意愿組織他們的文件夾,但不允許垃圾文件夾�����。 組織資源�,使具有相同安全要求的對象位于同一文件夾中�����。例如����,如果用戶需要多個應(yīng)用程序文件夾的讀取權(quán)限�����,請將這些文件夾存儲在同一個父文件夾中�。然后將讀取權(quán)限授予父文件夾,而不是單獨(dú)共享每個單獨(dú)的應(yīng)用程序文件夾���。 確保啟用了基于訪問的枚舉�����?����;谠L問權(quán)限的枚舉僅顯示用戶有權(quán)訪問的文件和文件夾��。如果用戶對某個文件夾沒有讀?�。ɑ虻刃В?quán)限�����,Windows 會隱藏該文件夾對用戶的視圖����。 相當(dāng)寬松地設(shè)置 Windows 文件共享權(quán)限 — 為所有人、經(jīng)過身份驗證的用戶或域用戶提供完全控制或更改權(quán)限 — 并依靠 NTFS 進(jìn)行真正的權(quán)限管理�����。 避免在文件結(jié)構(gòu)中使用嵌套共享���,因為如果通過不同的共享訪問相同的網(wǎng)絡(luò)資源,可能會產(chǎn)生沖突的行為��。這可能會帶來麻煩���,尤其是當(dāng)共享權(quán)限不同時����。嵌套共享是位于單獨(dú)共享文件夾中的共享文件夾。當(dāng)然���,還有默認(rèn)的隱藏共享(C$���、D$ 等),它們使所有共享都嵌套在它們下面�����,并且它們是默認(rèn)值���。但是��,如果您的用戶使用嵌套的兩個單獨(dú)的非隱藏共享��,則可能存在沖突的共享權(quán)限�����。 知道何時復(fù)制以及何時移動�����。標(biāo)準(zhǔn)復(fù)制和移動操作會提供默認(rèn)結(jié)果���,可以保持配置的 NTFS 權(quán)限——或破壞它們�。復(fù)制操作將創(chuàng)建目標(biāo)容器的權(quán)限����,移動操作將維護(hù)父容器的權(quán)限。為了保持這一點(diǎn)����,請記住CC/MM —復(fù)制創(chuàng)建,移動維護(hù)��。
|
