Sto provando a bloccare Domain Admins dall'accedere ai file classificati sui PC che hanno aderito al dominio. Ma sembra un'attività impossibile, dal momento che potrebbero facilmente superare qualsiasi restrizione o set di auditing di altri amministratori.
Il primo pensiero è stato quello di concedere solo i privilegi necessari a tutti gli adminis, ma non era un compito banale, lo prenderei come ultima risorsa.
Quindi, qualche suggerimento?
Un amministratore di dominio ha tutti i diritti sulla rete. Possono cambiare qualsiasi cosa a loro piacimento.
Attiro la tua attenzione sulla seguente legge :
Immutable Law of Security #6: A computer is only as secure as the administrator is trustworthy.
Se non ti fidi del tuo amministratore di dominio, non trasformarlo in un amministratore di dominio o assumere un nuovo amministratore di dominio di cui ti fidi.
Se veramente hai bisogno di mantenere segreti alcuni documenti operativi dall'amministratore del dominio, non metterli sulla rete. Conservali in un contenitore crittografato (ad es. TrueCrypt volume) al di fuori della rete.
Leggi altre domande sui tag windows