Nous avons un serveur basé sur MS Windows Server 2008 R8 qui est administré par notre service informatique. Nous aimerions réaliser deux choses simultanément :
- Un dossier sur le serveur, contenant plusieurs milliers de fichiers (de nouveaux fichiers sont ajoutés fréquemment), qui est accessible à certains utilisateurs d'ActiveDirectory (par exemple, le conseil d'administration) mais pas aux employés du service informatique.
- Les employés du département informatique conservent les droits d'administration du serveur, y compris l'installation de nouveaux logiciels et services.
Nous avons déjà vérifié certaines solutions :
- Utilisation des droits d'accès NTFS. Malheureusement, les informaticiens (membres du groupe "Administrateurs") peuvent se définir comme nouveaux propriétaires des fichiers et modifier les autorisations de manière à pouvoir accéder aux fichiers.
- Activation de l'EFS. Malheureusement, même si vous n'autorisez pas l'IT à accéder aux fichiers, ils peuvent toujours désactiver EFS complètement car ils ont des droits d'administration. De plus, pour autant que je sache, vous devez ajouter manuellement des autorisations pour tous les utilisateurs, sauf le propriétaire, pour chaque nouveau fichier - très peu pratique.
- Création d'un nouveau rôle pour le service informatique qui dispose de tous les privilèges, à l'exception de la propriété des fichiers. Malheureusement, si vous n'êtes pas membre du groupe Administrateurs, vous ne pouvez pas installer de nouveaux logiciels, quels que soient les privilèges que vous ajoutez au rôle.
- TrueCrypt - un bon logiciel de cryptage gratuit, mais avec des capacités de partage médiocres. Vous pouvez soit monter un conteneur de chiffrement sur le serveur (et alors l'informatique a accès à son contenu), soit le monter localement mais un seul utilisateur peut le monter en écriture.
- AxCrypt - logiciel de cryptage gratuit qui permet le cryptage fichier par fichier sur le serveur. Il y a cependant quelques inconvénients - vous devez crypter manuellement chaque nouveau fichier ajouté. Les fichiers voient leurs extensions modifiées. Vous ne pouvez définir qu'un seul mot de passe pour tous les fichiers (tous les utilisateurs doivent donc connaître ce mot de passe unique).
D'autres idées ? Notre budget étant limité, les logiciels de classe entreprise de Symantec ou PGP ne sont probablement pas envisageables.
