Iedereen heeft toegang tot alles op de fileserver en niemand weet meer waarom.
Permission-creep ontstaat doordat groepen al jaren worden uitgebreid en zelden opgeschoond. De oplossing is niet alles dichttimmeren in één weekend, maar een groepsmodel terugzetten en geleidelijk herijken.
Probeer dit eerst zelf
- 1Maak een rapport met AccessChk of een tool als FileAuditor: welke shares hebben Domain Users, Authenticated Users of Everyone in de ACL?
- 2Definieer een rol-gebaseerd model: per afdeling of project een security-group, geen losse user-permissies meer op folders.
- 3Begin top-down: hoofdfolders krijgen alleen de afdelingsgroep, sub-folders alleen waar het echt anders moet. Vermijd diepe ACL-piramides.
- 4Plan een audit-window per afdeling met de teamlead erbij: wie hoort hier, wie niet meer, en wat zijn de uitzonderingen.
- 5Zet Access-Based Enumeration aan zodat mensen mappen waar ze niet bij kunnen ook niet meer zien, dat scheelt vragen.
Wanneer ons inschakelen
Bij honderdduizenden bestanden of complexe historie loont een tool als Varonis of Netwrix. Dat wordt snel duur, dus eerst kijken of de hygiëne te repareren is met Microsoft-eigen middelen.
Zie ook
- Eén DC of twee DC's voor een MKB-kantoor?Twee is bijna altijd het juiste antwoord; één DC is een single point of failure voor logon, DNS en GPO.
- Moet ik FSMO-rollen verdelen over twee DC's?Voor een klein domein mag alles op één DC; bij twee DC's is verdelen netter maar geen must.
- Hoe weet ik of mijn AD-replicatie gezond is?Replicatie-fouten sluipen er stilletjes in; ze worden pas zichtbaar als logins of GPO's gek doen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.