如果你有像这样的SuperiorFolder和Sub1,Sub2,Sub3,Sub4,Sub5文件夹的文件夹。
你有Group1,Group2,Group3,Group4,Group5谁应该有权访问这些文件夹中的不同权利。
为您find的不同类别创build全局组(安全性)是最佳实践吗? 像全球组1,全球组2,全球组3,全球组4,全球组5。
然后你创build像Sub1_full,Sub1_read Sub2_full,Sub2_modify,Sub3_full,Sub4_read,Sub5_write等域本地组(安全)。
当然,将不同的用户添加到正确的组,并将域本地组添加到ACL调整NTFS。
并用NTFS打开共享权限并locking。
这是在域服务器2003上做这个最好的做法,为目录上的不同用户赋予不同的权利吗?
有一些最佳实践,例如在文件服务器上将全局组嵌套到域本地组,然后仅应用本地组共享和NTFS权限,是的。 这可以追溯到Win2000的日子: 组的最佳实践
然而,就像SvW所评论的那样,现在它真的归结为你的环境,要求以及你自己的IT经验,“这就是我一直这样做的”。
例如,对于我自己,我倾向于总是这样做:
SHARES =域pipe理员获得完整,每个人都可以读/写
然后我根据适当命名的域本地组locking权限在共享的NTFS级别。 我可能会也可能不会创build全局组来嵌套到域本地组。 我通常使用域本地组,因为它们可以包含远程受信任的域组,因此在未来的多林环境中更容易。
由于某些原因不得不中断inheritance的子文件夹也可能获得唯一的组。 其他时间,我会懒惰,只需将2或3个域用户直接添加到共享。
有时我甚至会直接在服务器上创build本地组,将域用户/组放入该服务器本地组,并将其应用于共享。
但YMMV和其他人可能不喜欢我这样做。 我的build议是创build一个易于理解,pipe理,交给队友或最终replace的环境。