10 个 NTFS 权限管理最佳实践

---

这是 10 个最佳 NTFS 权限管理技巧、技术和最佳实践的列表。

这些是我在大中型组织中实施和管理 Windows 文件共享上的 NTFS 安全权限的策略。

NTFS 权限管理对于确保您的数据免受威胁并防止未经授权的访问至关重要。在网络上启用共享文件夹时，需要正确配置 NTFS 权限。

让我们开始吧。

1. 审核和审查 NTFS 权限

无论您拥有现有文件服务器还是正在设置新文件服务器，检查您的 NTFS 权限都很重要，有时这甚至可能是审核的要求。为了简化此任务，我建议使用 NTFS 权限报告工具，它可以扫描所有文件夹并显示谁有权访问哪些内容。使用报告工具，您可以列出所有文件夹权限、验证用户是否具有正确的权限、检查继承、查找不安全的权限、验证目录权限以及将报告导出为 CSV、Excel 或 PDF。

2. 使用安全组保护 NTFS 权限

最佳做法是创建安全组来设置 NTFS 权限，而不是使用单独的用户帐户。安全组具有以下优点：

• 更轻松地管理一组用户的权限
• 轻松删除用户的权限
• 轻松授予用户对文件或文件夹的访问权限
• 更容易识别谁有权访问什么
• 简化审计和合规报告

让我通过一个示例来说明如何使用安全组来简化 NTFS 权限管理。

假设您有 100 名员工需要访问会计文件夹，其中 80 名员工需要读/写权限，另外 20 名员工需要只读访问权限。

要设置这些权限，您只需要创建两个安全组，然后配置这两个组的权限。下面的例子。

现在，当雇用新员工时，您所需要做的就是将用户添加到这些组之一以授予他们访问权限。要删除访问权限，您只需将它们从组中删除即可。

如果您没有使用 NTFS 权限的安全组，则必须将所有 100 个用户添加到 ACL，这将非常耗时且难以管理。下面的例子。

始终使用安全组来管理 NTFS 权限上的 ACL。

3. 标准化命名约定和文档

这是我最喜欢的 NTFS 权限管理技巧。

如果不使用描述性安全组名称，您可以轻松地向用户组提供不需要的访问权限。

例如，会计部门刚刚购买了基于 SaaS 的会计程序。它可以与 Active Directory 同步以实现单点登录和权限。管理员创建了 Accounting_1 和 Accounting_2 组来管理对软件的访问。 Accounting_1 具有完全访问权限，而Accounting_2 则受到限制。这两个组都是通用的，没有描述或文档。

会计部门还需要设置共享文件夹，以便他们可以共享和协作处理某些文件。管理员认为，哦，我已经配置了会计组，因此继续使用 Accounting_1。用户被添加到 Accounting_1 以提供对 NTFS 共享的访问权限，但不幸的是，这现在授予用户对 SaaS 会计程序的完全访问权限。

错误的安全组名称

下面的组是错误安全组名称的示例，因为没有描述并且是通用的，没有告诉管理员任何信息。您必须扫描整个网络才能知道这些组在哪里使用。

好的安全组名称

在下面的示例中，您可以查看组名称并立即知道它的用途，并且描述框中有信息。

不要创建通用安全组名称，而是在其使用中进行描述性并使用描述字段。

4.不要使用Everyone组（用于任何事情）

我可能会收到一些仇恨邮件，但说真的，使用每个人组的理由是什么？没有充分的理由使用它。

什么是Everyone组？

所有交互用户、网络用户、拨号用户和经过身份验证的用户都是Everyone 组的成员。这个特殊的身份组提供对系统资源的广泛访问。当用户登录网络时，该用户会自动添加到Everyone 组中。成员资格由操作系统控制。

https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/understand-special-identities-groups

每个人组还包括来宾帐户。 这对安全来说是个坏消息，因此我强烈建议不要使用“Everyone”组进行任何操作。

不幸的是，有一些设计不佳的程序和技术支持不理解这一点。供应商技术支持是否曾经告诉过您，“您需要添加每个人组并授予他们权限”？这是一个可怕的建议，如果遵循，您的网络安全性将大大削弱。

一些管理员会争辩说，使用每个人的共享权限然后使用 NTFS 权限将其锁定并不是问题。这仍然允许黑客扫描和检测网络中的共享文件夹，那么为什么要允许它呢？相反，使用最不原则模型，并且只允许那些需要访问它的人。

您可以使用报告工具和帐户过滤器快速找到每个人帐户的使用位置。

在下面的示例中，我扫描了我的文件服务器，发现有 4 个文件夹正在使用Everyone 帐户并具有完全控制权，这不太好。

5.使用最小权限原则

最小权限原则意味着用户只能访问完成所需任务所需的数据、资源和应用程序。

防止不必要的权限可以防止公司数据的不当处理，并有助于减轻安全威胁。

仅仅因为用户属于某个部门并不意味着他们需要对所有部门文件夹和文件的完全访问权限。考虑使用只读和读/写组来设置文件和文件夹的精细权限。

6.避免设置完全访问权限

只有管理员帐户或其他 IT 员工才能完全控制文件和文件夹。我想不出普通用户需要完全控制的充分理由。通过给予普通用户完全控制权，他们被授予更改设置和权限的能力，这是一个坏主意。

7.限制NTFS权限设置的深度

尝试将 NTFS 权限设置限制为不超过两级或三级。这个规则总会有例外，但如果你没有为这些权限设置规则，事情就会失控。您的用户将请求每个文件或文件夹具有特殊权限，这将导致问题。

这是一个例子。

会计部门有一个文件夹，该文件夹包含一个 1 级文件夹和两个子文件夹（2 级和 3 级）。在级别 1 和级别 2 上设置显式权限是没有问题的，但我不会再深入任何级别（级别 3），因为这变得难以管理，文件也是如此。

我还会尝试限制仅对文件夹设置显式权限。用户会打电话并希望对单个文件设置特定权限，这将成为管理的难题，因此请尽量避免这种情况。

8. 避免破坏继承

默认情况下，在根文件夹设置的权限将被所有子文件夹继承。如果破坏继承，可能会导致读取和管理 NTFS 权限变得困难。

让我们看一个例子。

在上面的屏幕截图中，会计、销售和采购是我认为的根文件夹。这些文件夹设置了 NTFS 权限，所有子文件夹将继承它们的权限。

例如，我对accounting文件夹设置了权限，因此它的所有子文件夹都会继承它的权限。如果我破坏了继承，我将必须在该文件夹上设置 NTFS 权限。

有时您需要中断继承，例如限制对特定文件夹的访问，但这应该保持在最低限度。

您可以使用 AD Pro Toolkit 轻松检查文件夹继承。

9.使用基于访问的枚举（ABE）

基于访问的枚举允许您对没有权限的用户隐藏文件和文件夹。限制文件和文件夹的可见性使用户可以更轻松地浏览和访问资源。

如果未启用 ABE，用户仍将看到他们无权访问的文件夹，但如果他们尝试打开这些文件夹，则会被拒绝。这可能会引起一些混乱，因此最好隐藏它们。

要启用 ABE，请按照以下步骤操作。

1.打开服务器管理器

2. 单击文件和存储服务（左侧边栏菜单）

3. 单击“共享”

4. 右键单击共享并选择属性。

5. 单击“设置”

6. 选中“启用基于访问的枚举”。

10.阻止用户在根目录中创建文件夹

当您花时间整理文件夹并将其全部清理干净，然后在根目录中找到一堆新文件夹时，这可能会令人沮丧。

通常会发生的情况是有人会创建一个文件夹并使用它与其他用户共享文件，绕过您设置的安全措施。要解决此问题，您只需在根文件夹上设置读取和执行权限，不要在子文件夹上设置此权限。然后，您需要再次添加该组并设置子文件夹的权限。请小心配置此选项，因为您很容易搞乱权限。

奖金＃1。文件筛选管理

文件屏蔽管理可以提高安全性并帮助控制 Windows 文件共享上的数据。文件屏蔽管理可用于以下用途：

• 阻止某些文件类型，例如 exe、bat 文件、视频文件。
• 报价管理 - 限制用户和组的磁盘空间使用。
• 存储报告 - 生成存储报告并查看谁使用最多的空间以及文件类型。

奖金＃2。使用卷影复制服务 (VSS)

VSS 是一项内置的 Windows 技术，允许您拍摄整个磁盘的时间点快照。这允许您创建文件共享或驻留在磁盘上的任何其他数据的备份。 VSS 非常适合作为从文件服务器恢复已删除文件和文件夹的快速解决方案。 VSS 不应用作您唯一的备份解决方案。

我希望您喜欢这篇文章。如果您有疑问或意见，请在下面发布。

扫描和审核 Windows 文件共享

使用 AD Pro 工具包