GMP工作电脑如何实现权限控制和审计追踪

注意：只有Win7及以上版本才可以满足现有要求！如何设置win7系统，实现对权限的控制？Win7系统应采用组的方式进行权限控制，对应有两类权限Administrators组---对应于Administrators 系统管理员权限；

User组---对应于User 普通用户权限；Administrators组和User组所拥有的默认权限表如下：组描述默认用户权限Administrators组此组的成员具有对计算机的完全控制权限，并且他们可以根据需要向用户分配用户权限和访问控制权限。

Administrator  帐户是此组的默认成员当计算机加入域中时，Domain  Admins 组会自动添加到此组中因为此组可以完全控制计算机，所以向其中添加用户时要特别谨慎从网络访问此计算机调整进程的内存配额

允许本地登录允许通过远程桌面服务登录备份文件和目录跳过遍历检查更改系统时间更改时区创建页面文件创建全局对象创建符号链接调试程序从远程系统强制关机身份验证后模拟客户端提高日程安排的优先级装载和卸载设备驱动程序

作为批处理作业登录管理审核和安全日志修改固件环境变量执行卷维护任务配置单一进程配置系统性能从扩展坞中取出计算机还原文件和目录关闭系统 获得文件或其他对象的所有权User组该组的成员可以执行一些常见任务，例如运行应用程序、使用本地和网络打印机以及锁定计算机。

该组的成员无法共享目录或创建本地打印机默认情况下，Domain Users、Authenticated Users 以及 Interactive 组是该组的成员因此，在域中创建的任何用户帐户都将成为该组的成员。

从网络访问此计算机允许本地登录 跳过遍历检查 更改时区增加进程工作集从扩展坞中取出计算机关闭系统与GMP相关的权限分配表组别应配置权限Administrators组具有系统所有的访问权限；建立Administrators组账户和User账户；

 更新电脑时钟，审核系统日志；为User账户设定权限，增减登录帐户和初始登录帐户密码；安装、修复、备份、卸载应用软件；User组具有部分权限；不能删除账户；不能修改电脑时钟；不能访问系统日志；重要文件夹不能修改或删除；

应用程序或数据存储路径不能修改；系统所具有的管理员账户不宜过多，并且应由IT人员担任，与数据有利益相关的人员均不得担任为User用户组增添GMP相关的权限进入控制面板，查看方式选择“小图标”，点击“管理工具”。

进入本地安全策略，展开左侧的“本地策略”，点击“用户权限分配”，可以看到右侧的权限表。

选择右侧需要增加或删除的权限，例如“管理审核和安全日志”，右键点击“属性”，然后可以看到哪些用户组拥有该权限，如果希望给User组添加该权限，则点击“添加用户或组”，然后选择User组即可。

如何加强密码的复杂程度，并要求定期修改？利用Win7系统同样可以实现用户登录密码的控制设定如下：在“本地安全策略”左边栏，点击“账户策略”展开了两项“密码策略”和“账户锁定策略”，选中“密码策略”，可看到各项说明。

点击“密码必须符合复杂性要求”项，选择“本地安全设置”，默认情况下该项功能是处于“已禁用”状态，此时我们需要启用该项功能，选择“已启用”。

“密码长度最小值”选项中，设定“密码必须至少是”，填入“6”个字符，规定密码的字符必须是6位。

“密码最短使用期限”指的是用户更改某个密码之前必须使用该密码一段时间(以天为单位)，此处我们用默认设置“0”天，即用户可以立即更改密码。

“密码最长使用期限”指的是系统要求用户更改某个密码之前可以使用该密码的期间(以天为单位)，为了强制定期修改密码，保证安全的需要，规定密码必须每42天更换一次，因此“本地安全设置”中的“密码过期时间”应设定为“42”天。

“强制密码历史”此安全设置确定再次使用某个旧密码之前必须与某个用户帐户关联的唯一新密码数。此处不采用，设定为不保留密码历史。

用可还原的加密来储存密码，此安全设置确定操作系统是否使用可还原的加密来储存密码。此处我们采用系统默认设置“已禁用”。

依据上述的步骤，密码设置要求已完成总结要求如下：密码设定为6位；不能包含用户的帐户名，不能包含用户姓名中超过两个连续字符的部分包含以下四类字符中的三类字符:英文大写字母(A 到 Z)英文小写字母(a 到 z)。

10 个基本数字(0 到 9)非字母字符(例如 !、$、#、%)密码必须每42天修改一次，否则无法再次登录系统如何实现账户锁定策略的设置，以及用户不操作电脑时自动锁屏，再次进入时需输入用户名和密码的设置？。

设置方法如下：在“本地安全策略”中，选中“账户锁定策略”，点击“账户锁定阈值”，设定为“5次”无效登录。即用户在5次无效登录后，该账户即会被锁定。

当设定好“账户锁定阈值后”，“账户锁定时间”及“重置账户锁定计数器”均会有推荐的设置值，用户也可以自行修改。

 账户被锁定后，可以用管理员账户进行解锁，或者等待限制时间到规定时间后，再行登录 在电脑桌面上右击，选择“个性化”，选择“屏幕保护程序设置”，设定“等待时间”并勾选“在恢复时显示登录屏幕”，再次进入时，需要重新输入用户账户和密码后方可操作电脑。

电子数据审计追踪这里讲的是在整个系统层面（基础架构）上对数据审计追踪的设置如何在系统层面上实现审计追踪？一般要求：应用程序所产生的数据的存储路径应是唯一的，并且只有管理员方可进行设置，操作员不具有设置的权限。

数据一旦产生，便不能随意修改或删除，对于配备有审计追踪功能的软件，应开启审计追踪功能，管理数据对于没有配备审计追踪功能的软件，我们应该在系统软件层面加强对数据的管理，主要是防止对数据有意无意的删除操作具体设置如下：

假设在Win7系统下应用程序所生成保存的数据记录都是存储“D:Data\”路径下，文件数据保存在Data文件夹中，下面有2种方法进行设置，监控数据的删除操作方法1：利用Administrators管理员对User设定权限，使得User组用户只能正常访问读取该文件夹中的文件，而不能执行删除操作，除非输入管理员密码，方可进行。

具体设置如下：2.1利用“nate_zou”的管理员账户对“suyan”的User账户进行Data文件夹的权限设定。找到“D:Data\”路径下的Data文件，鼠标右键点击“属性”。

在“属性”框中，选中“安全”选项卡，对于User用户组，在“拒绝”一览勾选“修改”。

之后User用户组的成员对“Data”文件夹试图的修改都会被系统拒绝。

方法2：利用Win7系统的“高级审核策略配置”进行设置，具体如下：控制面板中，选择“安全设置”，依次选择“高级审核策略配置“。

点击左侧“对象访问”，可以依次看到右侧窗格中子类别的审核。

双击右侧的“审核文件系统”项，“配置以下审核事件”中“成功”和“失败”均选中。

选中我们需要进行审计追踪的文件夹，例如"D:Data\"路径下的Data文件，右键选择“属性”，选择“安全”窗格，选择“高级安全设置”。

点击“添加”，“高级”，“立即查找”选择要为哪个用户配备该文件的审计权限。

在"成功”和“失败”一览中选中“删除子文件夹”和“删除”两项，表示对文件的删除操作会被审计追踪记录下来。

在“事件查看器”中左侧窗格“安全”中，可以看到我们之前的设置都被记录了下来。

Data 文件夹中的删除操作都会被记录下来。

自此，我们利用Win7系统已经实现了对用户权限的设置，对于数据访问、删除的追踪，是不是很神奇呢？

公众号GMP办公室

专业的GMP合规性研究组织国内外（FDA、EMA、MHRA、CFDA、WHO、PIC/S等）GMP法规解读；国内外制药行业GMP监管动态；GMP技术指南（ISPE、PDA、ISO、ASTM等）分享

亲爱的读者们，感谢您花时间阅读本文。如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。