私が理解しているように、ユーザーがフォルダーを作成すると、そのユーザーは所有者になり、ドメイン管理者に付与された継承されたアクセス許可の削除を含むNTFSアクセス許可を制御できます。
ドメイン管理者がネットワークフォルダへのアクセスを拒否されないようにするための最良のアプローチは何ですか?これらは私が読んだアプローチのいくつかです:
展開できるオプションでは、グループポリシーを使用してアクセス許可タブを非表示にするだけです。それは本当に創造的なユーザーを止めることはありませんが、いじくり回すかもしれない大多数をすぐに取り除きます。それ以外は、管理者が完全に制御できる限り、所有権について心配する必要はありません。前述のように、いつでも所有権を取得できます。
これは、技術的な問題というよりも管理上の問題のようです。スクリプトで所有権を取得したり、権限で遊ぶことのある少数の人々をブロックしようとしたりすることは、私が思うよりも厄介です。
これまで、ドメイン管理者は個人用フォルダに完全にアクセスできないようにしてきましたが、必然的に、「個人用ディレクトリで何かを確認できますか?」
したがって、管理者はすべてを読み取りできる必要があるというポリシーに従います(いくつかの例外を除く)。誰かが管理者アクセスをブロックしているフォルダに遭遇した場合は、その理由を調べ、アクセスできる方がよいと考える理由を説明し、アクセス許可をデフォルトに戻します。問題の追跡中に問題が発生した場合は、それがポリシーを持っている理由です。そのため、その時点で制御を取り、後で解決することができます。
セキュリティと管理性の観点から、最善の解決策は、正当なアクセスを拒否しているユーザーを見つけて停止させることです。
ユーザーおよび下位層の管理者は、ITインフラストラクチャを監視および管理する機能を妨害することを許可されるべきではありません。
より大きな問題に対処せずに技術的な問題に対処することのみが許可されている場合は、技術的な対策を実施することを余儀なくされます。
アクセスの復元のみが許可されている場合(変更のソースを特定することを心配していない場合)、2つのことを行う必要があります:
1。適切なNTFSアクセス許可を割り当てます
これは、icacls/grantコマンドを使用してスクリプトを介して実行するか、グループポリシーエディターを介して実行できます。 [コンピューターの構成]> [ポリシー]> [Windowsの設定]> [セキュリティの設定]> [ファイルシステム]に移動します。
スクリプトを介して実行する場合は、グループポリシーを介して、そのスクリプトをログオン/ログオフ/起動/シャットダウンスクリプトとして配布することもできます。
2。適切なSMB権限を割り当てます
これには、share動詞を指定したnetコマンドが必要です。例えば。:
net share SHARENAME /grant:GROUPNAME,PERMISSION
GROUPNAMEに「DOMAIN\DomainAdmins」などのスペースが含まれている場合は引用符で囲む必要があり、PERMISSIONはREAD、WRITE、またはFULLである必要があります。
起動スクリプトとシャットダウンスクリプトはデフォルトでSYSTEMとして実行されるため、ドメイン管理者とローカル管理者に何が構成されているかに関係なく、必要なアクセス許可を問題なく設定できることに注意してください。
ユーザーが将来賢くなる場合は、「DomainAdmins」グループに適用されるDENYALLエントリを追加する可能性があります。明示的なDENYエントリは、GRANTエントリよりも優先されます。このACLエントリはスクリプトを介して削除することもできるため、簡単に無効にできます。
彼らが軍拡競争に変えれば、マシンがドメインに参加している限り勝つことができますが、双方で時間が無駄になります。これが教育を通じて問題を解決する方が良い理由です。 /技術的対策ではなく施行。