Hmmm. Penso che potrei essere incline ad adottare un approccio leggermente diverso rispetto all'integrazione dell'autenticazione per accedere all'archivio dei documenti sensibili con la configurazione di Active Directory. Perché, a mio avviso, la sicurezza di tali documenti diventerebbe quasi esclusivamente dipendente dalla sicurezza della configurazione di Active Directory. E questo potrebbe non essere necessariamente una buona cosa, per quanto riguarda la sicurezza.
Non è che Active Directory sia impossibile da implementare in modi che garantiscano una solida sicurezza per cose particolarmente sensibili; ovviamente, molti negozi riescono a fare proprio questo. Tuttavia, molti negozi pensano possono farlo e finiscono per non riuscire nello sforzo. (Alcuni di loro vengono violati e mostrano chiaramente questi difetti, alcuni sono semplicemente fortunati e non vengono mai attaccati in alcun modo concertato.)
Le persone che implementano ed eseguono la configurazione di AD possono essere buone, ma creare e mantenere costantemente un ambiente di dominio con una solida sicurezza è una cosa davvero difficile. Puoi dire che sei certo che le tue persone o gli appaltatori sono abbastanza esperti nelle pratiche di amministrazione di infosec per compartimentare le loro attività di amministrazione di dominio in modo da non esporre le credenziali di amministratore di dominio (ad es. un regno di Active Directory ")? Per impostare l'autenticazione a due fattori, che vuoi davvero quando proteggi le informazioni particolarmente sensibili di qualsiasi tipo, con la configurazione attuale di AD? Non intendo pregiudicare le capacità delle persone che gestiscono le impostazioni tecnologiche quotidianamente in questo momento, ma ... beh, nella mia esperienza i negozi di piccole-medie-piccole dimensioni come la tua solitamente non hanno molto - amministratori qualificati e esperti di sicurezza interni per gestire correttamente l'annuncio in un ambiente ad alta sicurezza. E se colleghi il tuo archivio di documenti all'autenticazione di AD, il tuo setup di AD completo dovrà essere eseguito come un ambiente di sicurezza elevato. Che spesso non è desiderabile.
C'è un approccio molto più semplice, probabilmente più sicuro che viene in mente ma che potrebbe o non potrebbe essere appropriato a seconda di quanto siano sensibili le informazioni in quei documenti: impostando un account Office 365 e memorizzando i tuoi documenti lì con due autenticazione fattoriale abilitata. So che si tende a sentire parlare di un'opzione cloud per la memorizzazione di cose sensibili e il wince (io di solito faccio lo stesso), ma nel tuo caso potrebbe essere un'alternativa più sicura. Uno dei tuoi vettori di minacce, il furto fisico delle unità che contengono le informazioni, è gestito in modo appropriato da locali in fase di spegnimento e l'autenticazione a due fattori eseguita da Microsoft non rende la sicurezza dei tuoi documenti dipendente dal tuo dominio AD locale configurato e mantenuto correttamente il 100% delle volte dalle persone o dagli appaltatori. Inoltre, puoi impostare permessi di accesso cartella per cartella per utenti diversi anche più facilmente di quanto puoi con le cartelle locali & azioni.
(Nota a margine: tanto per essere chiari, non sono uno scellino per la soluzione cloud di Microsoft. Le merci di Google soddisfano anche le esigenze dell'OP, così come quelle di Dropbox, o box.net, o così via. innanzitutto perché l'OP ha un negozio Microsoft, e perché è lì che si trovano anche le mie capacità e esperienze personali.)