EFSはグループごとに設定できますか?
機密情報を含む、ディレクター用のファイルストアを作成するように依頼されました。彼らは、他の管理者がデータを読み取ることはできないように求めています。
私はすぐにEFSについて考えましたが、これはユーザーごとにしか実行できないことを思い出しているようです。
現在Server2003を実行していますが、近い将来Server 2008(おそらくR2)に移行する可能性があります。
他の誰かが同様の要求を課されたことがありますか?もしそうなら、あなたはそれをどのように扱いましたか?
クライアントでwindows XP以上、サーバーでserver 2003以上)を使用している限り、複数のユーザーにEFS暗号化ファイルへのアクセスを許可することができます。グループの場合は、個々のユーザーを追加する必要があります。
これに注意する主なポイントは、EFS暗号化ファイルへのアクセスを許可するユーザーは、ActiveDirectoryに保存されている有効なEFS証明書を持っている必要があるということです。次に、EFS暗号化ファイルへのアクセス権に複数のユーザーを追加できます。
他の誰かが同様の要求を課されたことがありますか?もしそうなら、あなたはそれをどのように扱いましたか?
システム管理者にアクセスを許可したくない場合は、EFSまたはNTFSのアクセス許可を使用するかどうかは実際には問題ではありません-簡単な答えはデータをバックアップする場合は、管理者がアクセスする必要があります =。あなたができないものにアクセスすることは不可能です読む-だから彼らがあなたが何に到達できるかについて心配しているなら...それは彼らが実際に恐れていることについてチャットする時間かもしれませんの。
または...彼らはとにかく理解するつもりはないので、新しい頭字語で彼らを魅了することができます、EFSがそれを処理します、そしてサムの答えは修正です。 ;)
これは、環境がデフォルトで安全であることを確認するための優れた言い訳です。回復エージェントがあなたの個人アカウントだけでない限り、EFSはあなたを助けません。それはビジネスにとって許容できるリスクかもしれませんが、彼らはそれを知っておく必要があります。これがポータブルシステム(リムーバブルハードドライブまたはラップトップ)でない場合は、通常のACLで十分です。他の管理者のACLを拒否すると、ACLを読み取ることができなくなります。また、 [〜#〜] abe [〜#〜] を使用すると、他の管理者はファイルを見ることができなくなります。 ドメインとサーバーの分離 も設定することを忘れないでください。バックアップオペレータには、ファイルを復元するためのアクセス権を付与せずに、ファイルをバックアップするためのアクセス権を付与することもできます。この特権はファイルのアクセス許可を上書きするため、管理者はファイルをバックアップするためのアクセス権を持っている必要はなく、別のシステムにファイルを復元しようとした場合にファイルを読み取れないようにします。 (これは、はい、バックアップチームと復元チームが2人の別々の人になることを意味します)私がドメインの管理者であり、サーバーに物理的にアクセスできる場合は、これらすべてをウィンドウの外に捨てることができます。サーバーへの物理的なアクセスにより、可能な限りすべてをバイパスできます。これがthat重要である場合、ロックされた引き出しのUSBキーに貼り付けることは実際にはそうではありません悪い考え。私は、彼らがそれについてその妄想的であるならば、彼らが恐れていることについての率直な議論が正しいことであるというカラに同意します。ドメインとサーバーの分離を設定し、誰かが適切な権限を持っていても、ディレクターのワークステーションからのみファイルにアクセスできることを示したのではないかと思います。これは、安全であることを印象付けるのに十分なはずです。
参考のために参照してください: