우리 IT 부서에서 관리하는 MS Windows Server 2008 R8 기반 서버가 있습니다. 우리는 두 가지를 동시에 달성하고 싶습니다:
- 일부 ActiveDirectory 사용자(예: 이사회)는 액세스할 수 있지만 IT 부서 직원은 액세스할 수 없는 수천 개의 파일(자주 추가되는 새 파일)이 포함된 서버의 폴더입니다.
- IT 부서 직원은 새로운 소프트웨어 및 서비스 설치를 포함하여 서버를 관리할 수 있는 권한을 계속 유지합니다.
우리는 이미 몇 가지 솔루션을 확인했습니다.
- NTFS 액세스 권한을 사용합니다. 불행하게도 IT("관리자" 그룹의 구성원)는 자신을 파일의 새로운 소유자로 설정하고 파일에 액세스할 수 있도록 권한을 변경할 수 있습니다.
- EFS를 활성화합니다. 불행하게도 IT가 파일에 액세스하도록 허용하지 않더라도 관리 권한이 있기 때문에 EFS를 완전히 비활성화할 수 있습니다. 게다가 내가 아는 한 모든 사용자에 대한 권한을 수동으로 추가해야 하지만 각 새 파일의 소유자는 매우 불편합니다.
- 파일 소유권을 얻는 것 외에 모든 권한을 갖는 IT 부서를 위한 새 역할을 만듭니다. 안타깝게도 관리자 그룹의 구성원이 아닌 경우 역할에 어떤 권한을 추가하더라도 새 소프트웨어를 설치할 수 없습니다.
- TrueCrypt - 훌륭한 무료 암호화 소프트웨어이지만 공유 기능이 좋지 않습니다. 서버에 암호화 컨테이너를 탑재하거나(그러면 IT가 해당 내용에 액세스할 수 있음) 로컬로 탑재할 수 있지만 쓰기를 위해 한 명의 사용자만 탑재할 수 있습니다.
- AxCrypt - 서버에서 파일별 암호화를 가능하게 하는 무료 암호화 소프트웨어입니다. 하지만 몇 가지 단점이 있습니다. 추가된 새 파일을 각각 수동으로 암호화해야 합니다. 파일의 확장자가 변경되었습니다. 모든 파일에 대해 하나의 비밀번호만 설정할 수 있습니다. 따라서 모든 사용자는 이 하나의 비밀번호를 알아야 합니다.
다른 아이디어가 있나요? 예산이 제한되어 있으므로 Symantec이나 PGP의 엔터프라이즈급 소프트웨어는 아마도 선택 사항이 아닐 것입니다.
답변1
IT 직원이 폴더에 액세스할 수 없도록 하면서 IT 직원에게 전체 액세스 권한을 부여하는 것은 불가능합니다. 그러므로 어떤 방식으로든 제한을 주어야 합니다. 서버에 물리적으로 액세스할 수 있기 때문에 암호화를 통해 이루어져야 합니다. 불편할 수 있지만 물리적으로 액세스할 수 있는 데이터에 대한 액세스를 중지하는 방법은 암호화 또는 물리적 제한의 두 가지뿐입니다.
나는 이것에 대해 다른 방법을 생각할 수 없습니다.