Windows Server — общий доступ к файлам без доступа администратора

tag-icon tag-icon encryption directory windows-server-2008 share
Windows Server — общий доступ к файлам без доступа администратора

У нас есть сервер на базе MS Windows Server 2008 R8, который администрируется нашим ИТ-отделом. Мы хотели бы добиться двух вещей одновременно:

  • Папка на сервере, содержащая несколько тысяч файлов (новые файлы добавляются часто), доступная некоторым пользователям ActiveDirectory (например, совету директоров), но недоступная сотрудникам ИТ-отдела.
  • Сотрудники ИТ-отдела по-прежнему сохраняют права на администрирование сервера, включая установку нового программного обеспечения и услуг.

Мы уже проверили некоторые решения:

  1. Используя права доступа NTFS. К сожалению, ИТ (члены группы «Администраторы») могут назначить себя новыми владельцами файлов и изменить разрешения так, чтобы получить доступ к файлам.
  2. Включение EFS. К сожалению, даже если вы не разрешаете IT-отделу получать доступ к файлам, они все равно могут полностью отключить EFS, поскольку имеют права администратора. Более того, насколько я знаю, вам придется вручную добавлять разрешения для всех пользователей, кроме владельца, для каждого нового файла — очень неудобно.
  3. Создание новой роли для ИТ-отдела, которая имеет все привилегии, кроме права владения файлами. К сожалению, если вы не являетесь членом группы администраторов, вы не сможете устанавливать новое программное обеспечение, независимо от того, какие привилегии вы добавите к роли.
  4. TrueCrypt — хорошее бесплатное ПО для шифрования, но с плохими возможностями совместного использования. Вы можете либо смонтировать контейнер шифрования на сервере (и тогда ИТ получит доступ к его содержимому), либо смонтировать их локально, но только один пользователь сможет смонтировать его для записи.
  5. AxCrypt — бесплатное программное обеспечение для шифрования, которое позволяет шифровать файлы на сервере. Однако есть некоторые недостатки — вам придется вручную шифровать каждый новый добавляемый файл. У файлов меняются расширения. Вы можете установить только один пароль для всех файлов (поэтому все пользователи должны знать этот пароль).

Есть еще идеи? Наш бюджет ограничен, поэтому программное обеспечение корпоративного класса от Symantec или PGP, вероятно, не будет вариантом.

решение1

Невозможно предоставить IT-сотрудникам полный доступ, оставляя папку недоступной для них. Поэтому вам нужно каким-то образом ограничить их. Поскольку у них есть физический доступ к серверу, это должно быть сделано с помощью шифрования — это может быть неудобно, но есть только два способа остановить доступ к данным, к которым кто-то имеет физический доступ — шифрование или физическое ограничение.

Я не могу придумать другого способа обойти это.

Связанный контент