Verwalten von Sicherheitsgruppen für NTFS-Berechtigungen

7

Zunächst arbeite ich für ein Unternehmen, das vor langer Zeit, als es Dateifreigaben für jede Abteilung implementierte, auch gegen die Grundregel der NTFS-Berechtigungen verstoßen und explizite Berechtigungen für Benutzer in bestimmten Ordnern verwendet hat. Um ein Beispiel für unsere Einrichtung zu geben, hat jeder Benutzer ein W: -Laufwerk. Die W: -Laufwerkshierarchie ähnelt der folgenden:

W: \ HR

W: \ Legal

W: \ Finanzen

W: \ Kommunikation

Ich bin mir ziemlich sicher, dass diese Ordner irgendwann ziemlich gut organisiert waren. Aber dann kam die komplexe Situation, in der jemand in der Rechtsabteilung Zugriff auf HR-Dokumente benötigte, jemand in der Finanzabteilung Zugriff auf Rechtsdokumente benötigte und es dann gelegentlich Fälle gab, in denen zwei verschiedene Personen aus verschiedenen Rechtsabteilungen Zugriff auf einen bestimmten Ordner im Rechtsordner benötigen. Sie möchten jedoch nicht, dass andere Benutzer Zugriff auf diesen Ordner haben. Für die damalige IT-Abteilung war es die beste Lösung, diesen Personen nur explizite Berechtigungen zu erteilen.

Seit ich vor 7 Jahren bei diesem Job angefangen habe, habe ich angedeutet, Sicherheitsgruppen für diese Instanzen zu erstellen (auch wenn es sich nur um ein Benutzerkonto handelt), da wir Benutzer beim Verlassen des Unternehmens aus allen Gruppen entfernen und sie einfügen eine Organisationseinheit für ehemalige Mitarbeiter für 5 Jahre, aber ihre expliziten Berechtigungen verbleiben in den Ordnern in der Dateifreigabe.

Wenn ich Hinweise zum Erstellen von Sicherheitsgruppen für diese Instanzen gebe, lautet das Gegenargument: "Wie werden alle leeren Gruppen verwaltet, wenn Personen das Unternehmen verlassen? Wie würden wir diese Gruppen in AD organisieren und benennen?"

Als erstes Argument schlage ich ein einfaches Powershell-Skript vor, um leere Gruppen zu löschen oder sie für zukünftige Mitarbeiter, die denselben Zugriff auf bestimmte Ordner anfordern, an Ort und Stelle zu belassen.

Das zweite Argument ist jedoch, wo ich Probleme habe, eine gute Lösung zu finden. Nach diesem kurzen Roman möchte ich einfach um Tipps oder Beispiele zum Organisieren von Sicherheitsgruppen in AD für NTFS-Berechtigungen bitten, wenn ich mit den oben aufgeführten Situationen konfrontiert bin.

Ein Gedanke, den ich hatte, war, eine Organisationseinheit nur für spezielle NTFS-Berechtigungsgruppen zu erstellen, die Gruppen nach den Ordnern zu benennen, auf die sie Zugriff gewähren, und den vollständigen Dateipfad in die Beschreibung einzufügen.

Wenn jemand bessere Ideen hat oder wenn jemand dies anders macht, bin ich offen für Vorschläge.

Nimm es zurück
quelle

Antworten:

12

Ihre Gedanken sind im Wesentlichen das, was ich tue, und ich habe viel Erfolg damit gehabt, Dinge in komplizierten Umgebungen so zu verwalten.

Die Lösung für beide Fragen besteht darin, dass Sie Ressourcengruppen erstellen , die an die Ordner / Freigaben gebunden sind. Sie löschen die leeren Gruppen überhaupt nicht. Die Gruppen sind so lange vorhanden, wie der Ordner oder die Freigabe vorhanden ist, und nicht, solange sich Benutzer in ihnen befinden. Wenn Sie den Ordner gelöscht haben, löschen Sie die zugehörige Ressourcengruppe, unabhängig davon, ob sie leer ist oder nicht.

Die Frage, wie Sicherheitsprinzipien in AD organisiert werden sollen, ist mir ein Rätsel - dafür ist AD da! Sie können es so organisieren, wie Sie möchten!

So mache ich das:

  • Erstellen Sie eine Organisationseinheit an einer geeigneten Stelle und nennen Sie sie hilfreich wie "Ressourcengruppen".
  • Optional: Erstellen Sie eine Organisationseinheit in "Ressourcengruppen" und nennen Sie sie "Ordnergruppen". Bei diesem Schritt geht es hauptsächlich darum, sich einen Platz zu lassen, an dem Sie andere Ressourcengruppen wie Druckergruppen oder Anwendungsgruppen platzieren können.
  • Durchsuchen Sie alle Ordner / Freigaben, für die nicht vererbte Berechtigungen vorhanden sind. Wenn Sie etwas mit nicht vererbten Berechtigungen finden, erstellen Sie eine nach ihr benannte lokale lokale Sicherheitsgruppe. Beispielsweise würden Sie für \\ FileServer01 \ Accounting eine Gruppe mit dem Namen "Accounting Folder" erstellen. Beachten Sie, dass Sie die Gruppe nicht "Buchhaltung" nennen sollten, da die Gruppe für den Ordner und nicht für die Abteilung bestimmt ist. Ich mag es, die Dinge besonders klar zu halten und habe keine Gruppen mit dem Namen "Buchhaltung". Ich möchte die globale Sicherheitsgruppe "Accounting Users" und die lokale Sicherheitsgruppe "Accounting Folder".
  • Geben Sie in der Beschreibung der neuen Ordnergruppe den vollständigen UNC-Pfad oder eine andere Methode ein, um anzugeben, für welchen Ordner sie bestimmt ist. Auf diese Weise gibt es keine Verwirrung darüber, auf welche Ressource die Gruppe Zugriff gewährt. Beispielsweise können Sie die Beschreibung "\\ FileServer01 \ Accounting" oder "D: \ Shares \ Accounting on FileServer01" erstellen.
  • Fügen Sie die neue Gruppe zu den ACLs im Ordner hinzu und fügen Sie jeden Benutzer oder jede Benutzergruppe ACE im Ordner zur Gruppe hinzu. Lassen Sie mich Folgendes klarstellen: Geben Sie der Gruppe "Buchhaltungsordner" zunächst die entsprechenden Berechtigungen für den Buchhaltungsordner. Gehen Sie dann die anderen Berechtigungen für den Buchhaltungsordner durch und fügen Sie alle diese Objekte zur Gruppe "Buchhaltungsordner" hinzu, fügen Sie jedoch keine Objekte wie "SYSTEM" oder "CREATOR OWNER" hinzu. Fügen Sie einfach diejenigen hinzu, die Sie kennen, wie die Gruppe "Buchhaltungsabteilung" und die einzelnen Konten, denen expliziter Zugriff auf den Buchhaltungsordner gewährt wurde. ENTFERNEN SIE ZU DIESEM ZEITPUNKT KEINE ERLAUBNISSE FÜR DEN ORDNER. Benutzer erhalten ihren neuen Zugriff basierend auf der von Ihnen erstellten Gruppe erst, wenn sie das nächste Mal ein Sicherheitstoken erhalten. Dies ist normalerweise das nächste Mal, wenn sie sich anmelden. Wenn Sie explizite ACEs entfernen, werden Sie mit ziemlicher Sicherheit Personen aus dem Ordner sperren und sie müssen sich ab- und wieder anmelden, damit die neue Berechtigungsstruktur funktioniert.
  • Durchsuchen Sie alle Ordner, bis Sie die neuen Gruppen erstellt und die neue Berechtigungsstruktur eingerichtet haben. Nachdem Sie sicher sind, dass sich Benutzer mindestens einmal (möglicherweise einige Wochen) abgemeldet und wieder angemeldet haben, können Sie mit den am wenigsten kritischen Ordnern beginnen, um die expliziten ACEs in den Ordnern selbst zu entfernen und sicherzustellen, dass Benutzer weiterhin Zugriff haben. Arbeiten Sie sich durch die Ordner zurück und stellen Sie sicher, dass Sie bei den wichtigsten Benutzern (HR, Finanzen, C-Ebene) überprüfen, ob diese noch Zugriff auf die entsprechenden Dateien haben.
  • HINWEIS:Möglicherweise haben Sie sich bereits über ACEs gewundert, denen unterschiedliche Zugriffsebenen gewährt wurden. Beispielsweise hat das Rechnungswesen Lese- / Schreibzugriff auf den Buchhaltungsordner, der CEO hat jedoch Lesezugriff. In solchen Situationen müssen Sie für jeden Ordner mehrere Ressourcengruppen erstellen. Ich würde vorschlagen, dass Sie herausfinden, wie nicht mehr als drei Gruppen pro Ordner erstellt werden, dass Sie sie konsistent benennen und für jeden Ordner dieselben zwei oder drei erstellen . Sie können sie also "Accounting Folder RW", "Accounting Folder RO" und "Accounting Folder FC" nennen (für volle Kontrolle). Hoffentlich haben Sie diese letzte Kategorie nicht, aber ich hatte einige Erfolge bei der Delegierung des Berechtigungsmanagements an Abteilungsleiter. Das bedeutet, dass sie die Möglichkeit haben müssen, Unterordnern und Dateien Berechtigungen zu erteilen.

Anmerkungen:

  • Die obigen Vorschläge folgen den Best Practices von Microsoft. Benutzer werden in Benutzergruppen eingeteilt. Ressourcengruppen werden erstellt und erhalten Zugriff auf Ressourcen. Anschließend werden Benutzergruppen und / oder Benutzer zu den entsprechenden Ressourcengruppen hinzugefügt. Es gibt viele, viele Gründe, warum dies eine kluge Methode zum Verwalten von Berechtigungen ist, von denen einige im Folgenden erläutert werden.
  • Fügen Sie einer Benutzergruppe keine Benutzer hinzu, um ihnen Zugriff auf eine Ressource zu gewähren. Wenn Sie beispielsweise eine Gruppe "Buchhaltungsbenutzer" mit allen Mitarbeitern der Buchhaltung haben, fügen Sie den CEO nicht der Gruppe "Buchhaltungsbenutzer" hinzu, um ihnen Zugriff auf die Buchhaltungsdateien zu gewähren. Sie wissen nie, welche unbeabsichtigten Folgen dies in Zukunft haben kann.
  • Ein Vorteil dieser Vorgehensweise besteht darin, dass der Zugriff auf Ressourcen über die Gruppenmitgliedschaft schneller und weniger anfällig für bestimmte Probleme ist. Wenn Sie beispielsweise einen Accounting-Ordner mit mehr als 5.000 Unterordnern und Dateien haben, die alle Berechtigungen von der ACL des Accounting-Ordners der obersten Ebene erben, muss diese Änderung auf alle 5.000 Dateien übertragen werden, wenn Sie dieser ACL des Accounting-Ordners einen einzelnen Benutzer hinzufügen Für alle ACLs muss der neue ACE hinzugefügt werden. Wenn Sie eine Ressourcengruppe verwenden, fügen Sie den Benutzer einfach der betreffenden Gruppe hinzu, und er hat Zugriff. Keine ACL-Änderungen vorgenommen.
  • Ein weiterer großer Vorteil ist, dass Sie leicht alle Ressourcen herausfinden können, auf die ein bestimmter Benutzer Zugriff hat. Bei expliziten ACEs besteht die einzige Möglichkeit, festzustellen, auf was ein Benutzer zugreifen kann, darin, jede einzelne ACL im Netzwerk zu überprüfen, um festzustellen, ob dieser Benutzer eine ACE enthält. Bei Ressourcengruppen gehen Sie einfach zu dem Benutzer in AD und sehen, zu welchen Gruppen er gehört.
  • Wahrscheinlich ist mein Lieblingsvorteil dieser Methode, dass Sie den Zugriff eines Benutzers auf alle Ressourcen vollständig kopieren können , da der Zugriff an die Gruppenmitgliedschaften seines Kontos gebunden ist, nicht an verschiedene ACLs im Netzwerk. Hatte Ihr CFO alle möglichen verrückten Zugriffsrechte auf mehr als 20 verschiedene Ordner auf dem gesamten Dateiserver, und jetzt sind sie in den Ruhestand getreten und Sie haben einen neuen CFO? Kein Problem! Kopieren Sie einfach das Konto des alten CFO, geben Sie den neuen Namen usw. ein, und der neue CFO hat jetzt genau den gleichen Zugriff wie der alte! Bonus: Sie müssen keine dummen Dinge tun, wie das Konto des alten CFO am Laufen zu halten, damit sich die Mitglieder des Führungsteams "als sie anmelden können, um auf Dateien zuzugreifen".
  • Es ist auch viel einfacher, den Ressourcenzugriff auf eine andere Ressource zu kopieren oder den Ordner zu verschieben. Wenn Sie einen neuen Dateiserver erstellen und alle Dateien auf den neuen Server kopieren, müssen Sie nicht viele ACEs auf den neuen Server kopieren. Gewähren Sie den Ressourcengruppen einfach die entsprechenden Berechtigungen.
  • Sie können nicht nur überwachen, welchen Zugriff ein einzelner Benutzer hat, sondern auch, wer Zugriff auf eine bestimmte Ressource hat. Schauen Sie sich einfach die Ressourcengruppen für die Ressource an und Sie erhalten eine Liste, wer welchen Zugriff auf diese Ressource hat.
  • Eine letzte Sache: Ich verstehe nicht, warum Sie verstorbene Benutzer aus allen Gruppen entfernen würden. Ich würde sie aus E-Mail-Verteilergruppen entfernen, aber nicht aus Sicherheitsgruppen. Wenn Sie sie in Sicherheitsgruppen belassen, können Sie aufzeichnen, welchen Zugriff sie hatten, und Sie können dieses Konto und seinen Zugriff nach dem Verlassen kopieren. Manchmal verlassen Personen das Unternehmen, bevor ihr Ersatz gefunden wird. Wenn Sie also das deaktivierte Konto bis zum Beginn des Austauschs beibehalten, können Sie eine größere Kontinuität des Betriebs ermöglichen. Manchmal gehen die Leute auch und kommen dann in ein paar Monaten wieder. Wenn Sie den AD-Papierkorb verwenden, können Sie das Konto nach 30 oder 60 Tagen löschen und ein Jahr später wiederherstellen, wenn der Benutzer zurückkommt, und alle Berechtigungen gleichzeitig wiederherstellen.
Todd Wilcox
quelle
Das ist ein großartiger Input, Sir. Ich weiß das wirklich zu schätzen. Dies brachte mich auf die Idee, dass ich, wenn ich nur den vollständigen Dateipfad in die Beschreibung einfüge, eine Aufgabe planen kann, um ein Powershell-Skript auszuführen, das alle Beschreibungen der Gruppen in der Ressourcengruppen-Organisationseinheit durchläuft, und die Beschreibung als Zeichenfolge verwenden kann Um zu testen, ob der Ordner vorhanden ist, entfernen Sie die Benutzer aus der Gruppe und löschen Sie die Gruppe.
Takeitback
@takeitback Sie können sogar ein Powershell-Skript schreiben, das den Ordner und alle erforderlichen Ressourcengruppen für diesen Ordner erstellt, und dann ein weiteres Skript zum Löschen von Ordnern und Gruppen. Beachten Sie, dass Sie nicht alle Objekte aus einer Gruppe entfernen müssen, bevor Sie die Gruppe löschen. Tatsächlich würde ich das auch nicht tun. Wenn Sie den AD-Papierkorb verwenden, können Sie die Gruppe mit ihrer Mitgliederliste wiederherstellen, wenn Sie feststellen, dass Sie diese Gruppe wieder benötigen.
Todd Wilcox