Contamos con un servidor basado en MS Windows Server 2008 R8 que es administrado por nuestro departamento de TI. Nos gustaría lograr dos cosas simultáneamente:
- Una carpeta en el servidor que contiene varios miles de archivos (archivos nuevos que se agregan con frecuencia) a la que pueden acceder algunos usuarios de ActiveDirectory (por ejemplo, la junta directiva), pero no los empleados del departamento de TI.
- Los empleados del departamento de TI aún conservan los derechos para administrar el servidor, incluida la instalación de nuevo software y servicios.
Ya comprobamos algunas soluciones:
- Usando derechos de acceso NTFS. Desafortunadamente, TI (miembros del grupo "Administradores") pueden establecerse como nuevos propietarios de los archivos y cambiar los permisos para poder acceder a los archivos.
- Habilitando EFS. Desafortunadamente, incluso si no permite que TI acceda a los archivos, aún pueden desactivar EFS por completo porque tienen derechos administrativos. Además, hasta donde yo sé, debe agregar permisos manualmente para todos los usuarios excepto el propietario de cada archivo nuevo, lo cual es muy inconveniente.
- Crear un nuevo rol para el departamento de TI que tenga todos los privilegios además de tomar propiedad de los archivos. Desafortunadamente, si no es miembro del grupo de Administradores, no puede instalar software nuevo, sin importar los privilegios que agregue a la función.
- TrueCrypt: buen software de cifrado gratuito, pero con escasas capacidades para compartir. Puede montar un contenedor de cifrado en el servidor (y luego TI tiene acceso a su contenido) o montarlo localmente, pero solo un usuario puede montarlo para escribir.
- AxCrypt: software de cifrado gratuito que permite el cifrado archivo por archivo en el servidor. Sin embargo, existen algunas desventajas: debe cifrar manualmente cada archivo nuevo agregado. Los archivos tienen cambios en sus extensiones. Sólo puede establecer una contraseña para todos los archivos (por lo que todos los usuarios deben conocer esta contraseña).
¿Alguna otra idea? Nuestro presupuesto es limitado, por lo que el software de clase empresarial de Symantec o PGP probablemente no sea una opción.
Respuesta1
No es posible dar acceso completo a los empleados de TI mientras se mantiene la carpeta inaccesible para ellos. Por lo tanto, es necesario darles una limitación de alguna manera. Debido a que tienen acceso físico al servidor, esto debe realizarse mediante cifrado; puede ser inconveniente, pero solo hay dos formas de detener el acceso a los datos a los que alguien tiene acceso físico: cifrado o limitación física.
No se me ocurre otra forma de evitar esto.