我有一个文件服务器,每个部门有一个20个共享文件夹,他们的雇员通过AD文件夹具有相同名称的写入权限。
事情是有些人不得不在其他部门文件夹上写文件,所以他们也有这个文件夹的写权限,给他们完全访问任何文件。
我想要改变这种做法:
我将根据每个公司的职位创build一个AD组,并根据职位需求给予每个不同文件夹的读写权限。 所以,每个员工都能正确访问这些文件,如果一个员工改变你的职位,我只需要从你的职位组中改变它。
有什么build议么?
你正在寻找的最佳实践风格,是AGDLP。 维基百科有一个很好的描述。 http://en.wikipedia.org/wiki/AGDLP
简短的版本是根据人物的angular色将人物放入环球或全球组织,并以特定angular色命名。 (就像将Team1和Team3放到DataTransferAppUsers中一样。)然后为这个权限设置Domain Local组(组Share_DataTransfer_RW应该拥有对这个共享的Modify权限),然后把这个通用组放到这个共享中。
不要害怕使用户组特定和小,然后将它们嵌套或将较小的组合成更普通的组。 尽量避免将用户组划分为多个或两个不同的层次结构。 让人群与angular色群体分开,angular色群组应该只有群体。 尽量避免将单个用户放入域本地权限组。
用户 – > UserGroup – > RoleGroup – > DomainLocalPermissionGroup – > ACL
现在当你添加一个人时,你只需要让他进入一些UserGroups。 为现有angular色添加新资源时,可以创build1个或2个组(只读和/或读写)并将其应用于该angular色。 创build新angular色时,只需创build一个组,然后查找将使用的资源。
因此,你用AD来把所有东西都捆绑在一起 该规程从来没有,永远不会应用一个用户(MS行话帐户)或用户组直接到本地系统上的任何ACL。 这样你就可以信任在AD中构build的权限树的视图之外没有什么东西在进行。
给定共享文件夹\ nyc-ex-svr-01 \ groups \ bizdev; (现有)全球安全小组“业务发展小组成员”,在Active Directory中作为业务发展小组; 并且要求整个组具有对共享文件夹的读写访问权限,那么遵循AGDLP的pipe理员可能会按如下方式实施访问控制:
在名为“更改\ nyc-ex-svr-01 \ groups \ bizdev”权限的Active Directory中创build一个新的域本地安全组。
授予域本地组在NTFS“更改”权限设置(读,写,执行/修改,删除)“bizdev”文件夹。 (请注意,NTFS权限与共享权限不同。)
使“业务开发团队成员”组成为“更改\ nyc-ex-svr-01 \ groups \ bizdev”权限组的成员。
为了突出使用此示例的RBAC的优势,如果业务开发团队需要“bizdev”文件夹的额外权限,则系统pipe理员只需编辑单个访问控制项(ACE),而不是在最糟糕的情况下编辑尽可能多的ACE有用户访问该文件夹。
我会通过工作简介说,这是最好的做法。