审计师将很快访问我们的办公室,他们将需要只读访问我们的数据。 我已经创build了一个域用户帐户,并将它们放入一个名为“Auditors”的组中。
我们有一个文件服务器(Windows Server 2008),共有十个共享文件夹。 所有共享都设置为允许完全访问经过身份validation的用户,访问限制通过NTFS ACL实现。 大多数文件夹都允许完全访问“域用户”组,但是审计人员不需要进行任何更改。 由于我们有大约一百万个文件,因此需要花费几个小时来更新NTFS ACL。 这是我目前正在考虑的选项。
我将来可能需要configuration类似的用户,因为我们的一些承包商需要一个域帐户,但不应该能够修改我们的客户端数据。 有这个最好的做法吗?
这就是我要做的(所有在NTFS级别,让你的共享权限的方式):
你可以一次完成4-6步,所以它不是多个acl更新。
现在,只要有人需要R / O访问,您只需将它们添加到“ReadOnlyAccess”组中,无需在将来更新acls。
一般来说,对于共享,我设置了一个只读访问的本地安全组,另一个本地安全组进行读/写访问。 使用NTFS安全性为这些组设置适当的权限(为简单起见,请保留共享权限,因为每个人都是完整的)
一旦你build立了这些组,任何新的用户(或组)都只需要被添加到本地安全组中,以获得正确的访问级别,而不需要每次都改变NTFS权限。
因此,对于您的情况,我可能会创build一个所有标准用户作为成员的工作人员全局组。 创build两个域本地组,LO_SharedFolders_ReadOnly和LO_SharedFolders_ReadWrite,并将Staff组添加到ReadWrite组,将Auditors组添加到ReadOnly组。 接下来将适当的NTFS权限授予本地组的这些文件夹。
然后,如果您想要提供一些只读访问权限,则只需将其添加到相应的本地组。