加密AD域上的共享文件

Question

我可以在Windows服務器上加密共享文件，並僅允許經過身份驗證的域用戶訪問這些文件嗎？

該場景如下：

我有一家軟件開發公司，並且我想保護我的源代碼不被我的程序員復制。

一個問題是某些程序員使用自己的筆記本電腦來開發公司的軟件。

在這種情況下，不可能阻止開發人員復制其筆記本電腦的源代碼。

在這種情況下，我考慮了以下解決方案，但我不知道是否有可能實現。

這個想法是對源代碼進行加密，並且只有當開發人員登錄到AD域時，才可以訪問（解密）它們，即，如果他們未登錄到AD域，則源代碼將被加密而無用。

可以實施嗎？ 應該使用什么技術？

Answer 1

這取決於您如何理解“僅允許經過身份驗證的域用戶有權訪問這些文件”：來自“允許來自Active Directory的選定用戶訪問EFS文件”或“來自文件共享的加密網絡流量”。 您的問題還有更多其他解釋方式。 大多數情況都是可能的，特別是在您具有Active Directory集成的PKI的情況下。 我不知道您所掌握的知識。 例如，您知道EFS如何工作的主要原理嗎？ （例如，請參閱http://go.microsoft.com/fwlink/?LinkID=85746和http://technet.microsoft.com/zh-cn/library/bb457116.aspx ）。

因此，如果您寫一個簡短的問題，答案可能會更長，並且無法提供您所需的信息。

而且stackoverflow.com是僅用於軟件開發的網站。 可能https://serverfault.com/或https://superuser.com/更適合您的問題。

最好的祝福

UDPATED ：由於服務器上的數據恢復存在問題，因此服務器上的EFS確實不是最佳解決方案。 如果用戶忘記了筆記本電腦，或者要還原備份數據，或者在其他非標准情況下，則可能需要在公司中實施新的特殊流程，以防在服務器上使用EFS。 如果不這樣做，則可以在服務器上接收沒有人可以讀取的加密數據。 由於這個問題，大多數大公司都拒絕服務器上的EFS。 一個在筆記本電腦上使用本地EFS或硬盤加密，但在服務器上僅使用設計良好的NTFS權限系統。

在我看來，即使沒有任何EFS，您也可以解決所有權限問題。 例如，您可以在服務器上創建一個對Creator Owner具有更改權限的目錄。 然后，公司的每個程序員都可以在共享上創建一個子目錄，並將其項目源復制到該子目錄中。 他/她獲得了對該目錄的更改許可，但沒有其他人。 如果將根帳戶的Domain Administrators權限添加到根共享目錄，則Domain Administrators或您還將對程序員的數據具有相應的權限。

如果某些人在一個項目上工作，則可以為該項目創建目錄，在Active Directory中創建一個相應的組，將屬於該項目的人放置為該組的成員，並對該組在NTFS中進行重大更改權限。 只有群組中的人才能訪問該目錄。

抱歉，如果我寫了一個眾所周知的東西（我不知道你的知識）。 我只想給您一些示例，這些示例表明，您在問題中描述的所有問題都不能通過加密解決，而可以通過授予文件系統許可來解決。 您是否應該選擇這種方式？