加密AD域上的共享文件

Question

我可以加密Windows服務器上的共享文件，並且只允許經過驗證的域用戶訪問這些文件嗎？

的情況如下：

我有一個軟件開發公司，我想保護我的源代碼由我的程序員被複制。

一個問題是，一些程序員使用自己的筆記本電腦來開發公司的軟件。

在這種情況下，不可能阻止開發人員複製筆記本電腦的源代碼。

在這種情況下，我想到了下面的解決方案，但我不知道是否有可能實現。

這個想法是加密源代碼，只有當開發人員登錄到AD域時纔可以訪問（解密）源代碼，即如果他們沒有登錄到AD域，源代碼將被加密無用。

可以實現嗎？ 應該使用什麼技術？

Answer 1

它取決於您如何理解「只允許經過身份驗證的域用戶訪問這些文件」：從「允許所選用戶從Active Directory訪問EFS文件」或「加密網絡流量，從文件共享」。你的問題還有更多的其他解釋方式。大多數情況下可能特別是你有Active Directory集成PKI。我不知道你有哪些知識。你知道例如EFS如何工作的主要原則嗎？ （參見例如，http://go.microsoft.com/fwlink/?LinkID=85746和http://technet.microsoft.com/en-us/library/bb457116.aspx）。

所以，如果你寫一個簡短的問題，答案可能會更長，並且不能提供你需要的信息。

此外stackoverflow.com是唯一一個用於軟件開發的網站。可能https://serverfault.com/或https://superuser.com/更適合您的問題。

問候

UDPATED：在服務器上的EFS真的不是因爲與服務器上的數據恢復問題的最佳解決方案。如果用戶忘記了筆記本電腦，或者您想要恢復備份數據，或者在其他非標準情況下，您可能需要在公司中實施新的特殊過程，以防服務器上使用EFS。如果您不這樣做，您可以在服務器上接收到任何人都無法讀取的加密數據。由於這個問題，大多數大公司都拒絕服務器上的EFS。在筆記本電腦上使用本地EFS或硬盤加密，但在服務器上只使用設計良好的NTFS權限系統。

在我看來，你可以在沒有任何EFS的情況下解決你所有的權限問題。例如，您可以在服務器上創建一個具有創作者所有者更改權限的目錄。然後，公司的每個程序員都可以在共享上創建一個子目錄，並將其項目源複製到子目錄中。他/她獲得此目錄的更改權限，但沒有其他人。如果您向根目錄共享目錄添加了針對您的帳戶的域管理員權限，然後再添加了域管理員權限，或者您也將擁有相應的程序員數據權限。

如果某些人在一個項目上工作，您可以爲該項目創建一個目錄，在Active Directory中創建一個相應的組，將屬於該項目的人員作爲該組的成員以及在NTFS中的重大更改權限這個組。只有來自該組的人才能夠訪問該目錄。

對不起，如果我寫一個衆所周知的事情（我不知道你的知識）。我只想給你一些例子，它顯示你在你的問題中描述的所有問題都可以通過來解決，而不是在加密方面，而只是在文件系統中授予權限。你應該選擇這種方式嗎？