我們有一個基於 MS Windows Server 2008 R8 的伺服器,由我們的 IT 部門管理。我們希望同時實現兩件事:
- 伺服器上的一個資料夾,包含數千個檔案(經常添加的新檔案),某些 ActiveDirectory 使用者(例如董事會)可以存取該資料夾,但 IT 部門員工無法存取該資料夾
- IT 部門員工仍保留管理伺服器的權限,包括安裝新軟體和服務
我們已經檢查了一些解決方案:
- 使用 NTFS 存取權限。不幸的是,IT(「管理員」群組的成員)可以將自己設定為檔案的新擁有者並更改權限,以便他們獲得對檔案的存取權限。
- 啟用 EFS。不幸的是,即使您不允許 IT 人員存取文件,他們仍然可以完全停用 EFS,因為他們擁有管理權限。此外,據我所知,您必須手動為所有使用者新增權限,但每個新檔案的擁有者除外 - 非常不方便。
- 為 IT 部門建立一個新角色,該角色擁有除文件所有權之外的所有權限。不幸的是,如果您不是管理員群組的成員,則無論您為該角色添加什麼權限,都無法安裝新軟體。
- TrueCrypt - 不錯的免費加密軟體,但共享功能較差。您可以在伺服器上安裝加密容器(然後 IT 人員可以存取其內容),也可以在本機安裝它們,但只有一個使用者可以安裝它進行寫入。
- AxCrypt - 免費加密軟體,可在伺服器上實現逐個檔案加密。但也有一些缺點 - 您必須手動加密新增的每個新檔案。這些檔案的副檔名發生了變化。您只能為所有檔案設定一個密碼(因此所有使用者都必須知道此密碼)。
還有其他想法嗎?我們的預算有限,因此 Symantec 或 PGP 的企業級軟體可能不是一個選項。
答案1
不可能在授予 IT 員工完全存取權限的同時又讓他們無法存取該資料夾。因此你需要以某種方式給他們一個限制。因為他們可以實際存取伺服器,所以這需要透過加密的方式來實現——這可能很不方便,但只有兩種方法可以阻止對某人可以物理存取的資料的存取——加密或物理限制。
我想不出其他方法來解決這個問題。