É uma prática ruim ter um usuário próprio de cada arquivo / diretório em um compartilhamento?

1

Estou reestruturando um compartilhamento desorganizado do Windows Server 2012 que tenho.

Eu quero usar iCaclspara escrever um script .bat para que eu possa definir permissões NTFS para ser tão restritivo quanto possível e, em seguida, use este script para reverter para minha estrutura de permissões ntfs 'padrão' pré-decidida no caso de outros administradores adicionando permissões extras etc ao longo do tempo.

Eu li que iCaclsreceberá erros de "Acesso negado" durante a configuração de permissões, a menos que seja invocado pelo proprietário do arquivo, então pensei em usar TAKEOWN driveletter: /Rpara apropriar-se de tudo no compartilhamento.

Eu estaria abrindo qualquer risco de segurança alterando a propriedade de tudo para domainname \ administrator? Eu me preocupo que seja um ponto único de falha ou algo para esse efeito.

windows permissions ntfs network-shares file-permissions Ciaran McKenzie
fonte
Resposta curta: não, mas você pode quebrar as coisas. Algumas pastas, como pastas iniciais ou pastas de perfil, não funcionarão se o usuário dedicado não for mais o proprietário.
LPChip
Obrigado pela sua resposta @LPChip O compartilhamento contém apenas documentos realmente, não há perfis de usuário sobre ele. Apenas arquivos que precisam ser compartilhados entre grupos. Uma vez que eu tenho o cuidado de garantir que eu não remova o acesso de qualquer pessoa aos arquivos que eles precisam, eu posso prosseguir sem abrir nenhum risco de segurança, então sim?
Ciaran McKenzie
Proprietário de configuração não altera os direitos de segurança, portanto, não há risco de segurança. Definir direitos de segurança, mas apenas para aqueles na rede. Para gerenciar arquivos, você realmente não precisa ser proprietário, apenas esteja em um grupo de segurança ou seja adicionado como membro de segurança com acesso total. Mas se você não tiver isso, também não poderá definir a propriedade. Observe que você sempre pode enviar os direitos de baixo e definir todas as permissões para herdá-los. A melhor estratégia seria anunciar primeiro que você trabalha nela e as pessoas não podem usá-las, remover todas as permissões e construir a partir do zero.
LPChip
@LPChip Obrigado pelo conselho! Eu acho que vou fazer algo nesse sentido! Se você quiser adicionar seu último comentário como uma resposta, eu vou marcá-lo como a resposta aceita, agradeço!
Ciaran McKenzie

Respostas:

0

Proprietário de configuração não altera os direitos de segurança, portanto, não há risco de segurança. Definir direitos de segurança, mas apenas para aqueles na rede. Para gerenciar arquivos, você realmente não precisa ser proprietário, apenas esteja em um grupo de segurança ou seja adicionado como membro de segurança com acesso total. Mas se você não tiver isso, também não poderá definir a propriedade. Observe que você sempre pode enviar os direitos de baixo e definir todas as permissões para herdá-los. A melhor estratégia seria anunciar primeiro que você trabalha nela e as pessoas não podem usá-las, remover todas as permissões e construir a partir do zero.

LPChip
fonte