Sei sulla buona strada per la maggior parte, anche se non sono d'accordo con gli amministratori di dominio.
Poiché si menzionano le migliori pratiche, inizierò affermando che è necessario utilizzare i gruppi di sicurezza solo nell'assegnazione di autorizzazioni e privilegi, anche se nel gruppo di sicurezza è presente un solo membro. Pensa al ruolo basato sul singolo utente. In un'organizzazione più piccola questo è meno importante ... ma le migliori pratiche e tutte.
Gli amministratori possono significare locale, Domain Admins, Enterprise o qualunque cosa sia applicabile al tuo ambiente ...
Nella maggior parte dei casi, sarebbe opportuno interrompere l'ereditarietà come suggerito e concedere l'accesso solo all'utente / gruppo che ha bisogno di accesso e SYSTEM. A seconda del contenuto e dell'ambiente, molti amministratori lascerebbero anche gli amministratori. Gli utenti devono essere informati che possono bloccarsi, ecc. Dal momento che sono l'unico proprietario, ecc.
Occorre prestare particolare attenzione al backup e al ripristino. Dovrebbe essere eseguito il backup di questa directory / condivisione? Il tuo backup protegge gli ACL sul backup / ripristino? La tua soluzione di backup utilizza SeBackupPrivilege, che consente backup nonostante gli ACL (la maggior parte sì, ma alcuni semplici no)? La sicurezza dovrebbe essere mantenuta non solo nella produzione, ma anche attraverso il backup e il ripristino ... Ciò è particolarmente importante in un ambiente conforme alle normative come SOX, HIPAA o PCI.
Tieni presente che come amministratore puoi modificare la proprietà del file o dell'oggetto directory e quindi modificare le autorizzazioni per correggere qualsiasi cosa, se necessario. Questo è il motivo per cui gli amministratori vengono spesso rimossi dall'ACL. Questo è generalmente appropriato perché tale attività verrebbe registrata o verificata. Se si ottiene l'accesso solo cambiando la proprietà non si può essere accusati di accedere a dati sensibili senza prove; -)