En la mayoría de los casos, estás en el camino correcto, aunque no estoy de acuerdo con los administradores de dominio.
Como menciona las mejores prácticas, comenzaré diciendo que solo debe usar grupos de seguridad para asignar permisos y privilegios, incluso si solo hay un miembro en el grupo de seguridad. Piense en un rol basado en un usuario individual. En una organización más pequeña, esto es menos importante ... pero las mejores prácticas y todo.
Los administradores pueden significar locales, administradores de dominio, empresas o lo que sea aplicable a su entorno ...
En la mayoría de los casos, sería apropiado interrumpir la herencia al sugerir y otorgar acceso solo al usuario / grupo que necesita acceso y SISTEMA. Dependiendo del contenido y el entorno, muchos administradores también dejarían a los administradores. Los usuarios deben ser informados de que pueden bloquearse, etc., ya que son los únicos propietarios, etc.
Se debe prestar especial atención a la copia de seguridad y la restauración. ¿Se debe hacer una copia de seguridad de este directorio / recurso compartido? ¿Su copia de seguridad protege las ACL en la copia de seguridad / restauración? ¿Su solución de copia de seguridad utiliza el SeBackupPrivilege, que permite realizar copias de seguridad a pesar de las ACL (la mayoría lo hace, pero algunas más simples no)? La seguridad debe mantenerse no solo en la producción, sino también a través de la copia de seguridad y la restauración ... Esto es particularmente importante en un entorno bajo el cumplimiento de la normativa, como SOX, HIPAA o PCI.
Tenga en cuenta que, como administrador, puede cambiar la propiedad del objeto de archivo o directorio y, a continuación, cambiar los permisos para corregir cualquier cosa si es necesario. Esta es la razón por la que los administradores suelen ser eliminados de la ACL Esto es generalmente apropiado porque tal actividad sería registrada o auditada. Si solo obtiene acceso cambiando de propietario, no puede ser acusado de acceder a datos confidenciales sin pruebas ;-)