您如何记录/跟踪您的权限

我是Windows管理员，因此与Windows集成的人员可能会很有帮助。在这一点上，我面临的主要挑战只是文件共享，但是随着SharePoint使用的增加，这只会使这一工作变得更加困难。

我已经设置了所有目录，并允许使用需要最少访问权限的策略来设置许多安全组。我的问题是出于人力资源和合规性原因而对所有这些进行跟踪。

用户A需要获得对资源1的许可。他需要获得资源1的经理的批准，然后经理的经理也需要批准此访问权限。完成所有这些操作后，我就可以进行更改。在这一点上，我们只是在纸​​上进行跟踪，但这是一个负担，当重新分配用户A并且在其他情况下不再应该访问资源1时，它可能会失去合规性。

我知道我要寻找的东西应该已经存在，但我不知道在哪里寻找，我正在与社区建立联系。

编辑：

感谢您的答复。我认为他们涉及技术方面，希望我的问题不是题外话。我本该明确自己的目标。您使用什么系统向审核员显示X在日期X上用户A已添加/删除权限并获得了经理Y的批准？我目前有一个基本的票务系统，但是我看不到它能以一种易于理解的格式提供我所需要的东西。
在我的脑海中，我想像的是某个报告，该报告将对用户A进行报告，其中将显示对其权限所做的所有更改。理想情况下，链接到Active Directory的东西将是理想的选择，但在这一点上，我希望找到更基本的东西。我希望有一个专门用于此的应用程序。

谢谢！

您需要一个票务系统，该系统提供以下三项内容：

1. 更改（添加或删除）特定用户权限的时间戳记
2. 为什么他们被改变了
3. 搜索这些更改的能力

几乎所有的票务系统都已经以票证创建日期，修改日期等形式为您提供了＃1。＃2由您决定如何在票证中进行记录。通常，这是来自资源管理器的批准电子邮件，粘贴到票证中，表示他们可以访问（或应删除访问权限）以及使用哪种电子邮件。＃3是最重要的，并且取决于票务系统，但是如果您有一个不容易搜索的系统，那么您的工作就很麻烦。如果您可以仅由用户搜索，以使所有许可票证都与票证系统中的联系信息绑定，那么您就很好了，否则，您实际上是在将更改记录在一个黑洞中。

在可以执行此操作以跟踪更改的票务系统之外（您提到您有一个基本的票务系统，因此也许您需要获得一个更好的系统，以便具有更好的搜索/报告功能），使用的任何应用程序，实用程序或脚本将仅提供权限的快照。您仍然坚持使用“为什么？” 谁有权访问哪些内容，这些内容只能与应用程序分开正确记录，因为您可能需要从资源管理器中捕获原始电子邮件或其他批准文本。一旦有了，您将其放在何处以将其与应用程序的结果相关联？

运行应用程序或脚本来确定文件结构中的当前权限也不会为您提供关于用户权限更改的良好审核线索。从本质上讲，您在单个时间点上都无法捕获当前权限的大快照。再次运行它时，您将获得另一个文件权限的大快照。即使您保留了第一个权限捕获并将其与最近的捕获进行比较，并且权限已更改，您如何将其与更改原因联系起来？再次，这使我们回到票务系统，因为上面的＃1、2和3将全部记录在一个地方。

您提出的另一个问题是权限蠕动（当用户重新分配给另一个权限并且不再需要访问资源X时，无论如何仍保留它，因为IT不再运行他们不再需要访问资源X的事实。过渡期间的部门）。控制此问题的唯一方法是告诉HR或负责员工重新分配的任何人，在员工重新分配后需要通知IT，以便他们可以适当地分配和撤消权限。而已。没有任何魔术应用程序可以告诉您用户可以访问资源X，但现在不应该再使用它了，因为他们的工作现在是Y。这种情况发生时，必须以某种形式向IT部门发出人工通知。

如果您已经有票务系统，建议您在应用程序中为这些类型的请求创建一个新的组或标签等，并让用户发送票证以更改权限。如果您的票务系统允许您将票证转发给其他用户，或将其添加到票证中，请添加所需的管理员并要求进行验证。这将使您保留记录以涵盖您的工作。

如上所述，为每个共享创建一个安全组。在我的环境中，我们将拥有名为FIN_Yearly，GEN_Public，MGM_Reports的共享（每个部门都有其自己的缩写）。然后将安全组命名为SG_FIN_YearlyAdmin，SG_FIN_YearlyUser，SG_GEN_PublicAdmin等。用户为只读，Admin为读/写。

从这里您可以创建例如SG_FinancialsManager; 包括其他安全组的安全组，以简化基于其所执行工作的访问。我们个人不这样做，因为它会使跟踪变得更加混乱。我们没有查看共享的SG并看到一堆具有权限的SG，而是有一个用户列表。确实，个人喜好取决于网站的大小。我们通常使用用户模板将新用户管理到特定职位。

如果您的票务系统允许您搜索以前的票证，那么您已经完成了。如果有人要求您删除用户的权限，则可以对其进行跟踪。如果用户随后质疑为什么他们不再具有访问权限，则可以向他们提供票证。如果管理员询问您谁有权访问什么，请打印屏幕所请求的安全组。

为此，实际上有几种商业应用程序。该区域有时被称为“数据治理”。

几个例子：

Varonis数据治理套件
http://www.varonis.com/products/data-governance-suite/index.html

Quest One Identity Manager –数据治理版
http://www.quest.com/identity-manager-data-governance

我不使用这些内容，但在研究了该主题并看到了一些演示之后，可能需要提供的范围才能解释市场。这些应用程序非常复杂，而且不便宜。它们中的一些具有挂钩到存储平台以跟踪访问控制列表的非常复杂的方法。即使不在您的预算之内，这些演示也可以从功能的角度了解这样的应用程序的功能。

我在查看此内容时发现的一个观察结果是，它们通常不在文件级别进行审核。如果这样做的话，将不可能扩展到数亿或数十亿个文档。因此，它们通常仅在目录级别跟踪权限。

我不知道如何记录/跟踪它们，但我给它们分配了分组。

用户A需要访问资源＃1。他们获得许可，我将它们添加到访问组。
他们继续开展业务，直到有一天他们被重新分配/解雇/无论如何，这时我将他们从访问组中删除。

我的帐户修改审核日志会告诉我他们何时获得/失去访问权限，因此会有记录，并且资源访问组通常是部门组（HR，IT，销售，财务等），因此管理重新分配通常意味着更改他们的组无论如何。

这往往在较小的环境中最有效-对于较大的环境或ACL变得非常复杂的环境，Zoredache很好地指出了进行ACL调整的系统也在一定程度上进行了文档编制

为了启动添加/删除访问权限，重新分配用户等的请求，我建议使用电子纸（票务系统）-这样可以确保用户不会碰壁，但需要公司的整体支持才能虔诚地使用电子系统。
与纸张相比，它的优点是您可以搜索任何东西，并且每个人都可以在办公桌上完成自己的工作（管理人员可以更快地批准，因为没有办公室间的邮件信封在走动，IT可以尽快授予/撤消访问权限当票出现在某人的垃圾箱等中时）

我发现进行权限设置的最佳方法是基于角色。

GG_HR GG_Finance等，通常映射到职位或业务单位。

在这里，您可以创建对资源即打印机或财务目录具有权限的本地组。LG_RoomXPrinter LG_Finance_Read LG_Finance_FullControl

您为这些本地组LG-> GG创建全局组，然后在基于角色的全局组中添加基于权限的全局组。

GG_Finance <-LG_Finance_FullControl，LG_RoomXPrinter

当人们进入一个角色时，您可以轻松地将其帐户添加到一个组中，并且他们的权限从该角色中流出，并且更容易跟踪。（如果您使用某种身份管理系统，也很棒）。跟踪谁拥有哪些个人权限要容易得多，您知道如果他们在HR组中，则他们拥有X权限。

您可以通过作业管理系统跟踪他们的小组运动，或者运行脚本吐出谁属于哪个基于角色的小组。

两项实用工具：

1. AccessEnum：http ://technet.microsoft.com/zh-cn/sysinternals/bb897332
2. AccessChk：http : //technet.microsoft.com/zh-cn/sysinternals/bb664922

AccessEnum还允许您保存其结果，然后在将来进行比较，这对于查找更改很有用。

您应该真正考虑启用对文件/文件夹权限更改的审核，然后收集文件服务器安全日志（手动或使用任何事件日志管理工具或SIEM（如Splunk））并将其用作文档。分析对文件DACL的所有更改。另外，如上所述，您还可以使用AccessEnum和AccessChk对其进行补充。

并且这不会使您脱离设置适当的安全权限并仅通过组分配权限的权限。