我们已经在新的环境中工作了几个月,一切都很顺利。 唯一的问题是pipe理。 我们有多个部门,多个公司,多个地点/办事处等,并且发现现在pipe理意大利面的挑战性很大。
操作系统: Windows Server 2016
以下涉及两台机器(最终以高可用性)
我们将驱动器映射到连接到DFS的用户。
DFS有一堆子文件夹,而子文件夹又有更多的子文件夹。 结构看起来类似于以下内容:
Shares ├── Systems | ├── System1 | ├── System2 ├── Users | ├── Accounting | | ├── Company1 | | | ├── Office1 | | | ├── Office2 | | ├── Company2 | | | ├── Office1 | | | ├── Office2 | ├── General | | ├── Company1 | | | ├── Office1 | | | ├── Office2
我们有多个安全组,如下所示:
Accounting Company1 Company2 Office1 Office2
我们无法弄清楚如何在文件夹级别应用某种项目级别的定位,以确保正确的访问。
例如:
User1属于以下组:
Accounting Company1 Office1
User2属于以下组:
Accounting Company1 Office2
从逻辑上讲,以下应该是我们的设置:
User1只能访问\\example.com\Shares\Users\Accounting\Company1\Office1 User2只能访问\\example.com\Shares\Users\Accounting\Company1\Office2 不幸的是,当您添加多个部门(其中一些可能重叠)以及标题/部门angular色(例如Manager应该可以访问各自部门的pipe理层级文档)的可能性时,这个问题会以更大的规模存在。
我们希望隐藏用户无权访问的任何文件夹。 在上面的例子中,例如, User2甚至不知道\\example.com\Shares\Users\Accounting\Company1\Office1的存在,因为用户不属于相应的安全组
我们希望能够根据用户所在的OU来应用一些安全组。我们当前的OU结构类似于以下(与公司或Office等安全组密切相关)。
示例OU结构
Users Company1 Office1 User1 Office2 User2
上述configuration(目前未经testing)在理论上适用于诸如打印机分配之类的事情,如果需要的话,甚至可以为每个Office添加一个Floor ,并通过楼层将用户分组以分配默认打印机,二级打印机等。
我认为你的文件夹结构是正确的,你将只是有一个繁琐的工作,初始设置权限。 并希望所有人,你永远不必从上而下重新传播。
首先,在共享级别启用“基于访问的枚举”。 这将隐藏用户没有权限的文件夹。
至于文件夹有几件事情:
使用NTFS ACL,您可以通过将ACL设置为“仅此文件夹”来控制inheritance。 所以如果你想阻止User2去看办公室1,那很简单。 仅将文件夹权限设置为该文件夹。
例如:公司1 =公司1组,只读,仅此文件夹办公室1 =办公室1组,只读,仅此文件夹用户1 =用户1组,修改(或其他),默认传播
至于你的经理,只要让他们成为两个办事处的一部分,没有什么大不了的,他们会看到两者。
现在对于你没有预料到的问题,当pipe理员将文件1从办公室1移动到办公室2时会发生什么? 该文件默认情况下将具有与源文件夹相同的权限。 (在同一个NTFS卷中移动=保留源位置的权限)。 重写的方式是设置一个客户端设置(桌面端),指示窗口将“移动”操作转换为复制+删除源操作。
现在,我在我的上一个公司做了什么,我有一个在根子文件夹的NTFS权限的政策,我从来没有嵌套的权限。 含义…
根\文件夹1根\文件夹2根\文件夹3
所以我只会申请在文件夹1,2和3,永远不会下面的烫发。 使重新传播的权限更容易
那么就用一个命名scheme吧
Root \ cmp1_ofc1 Root \ cmp2_ofc2
这有一个额外的好处,用户将看到他们有权访问的所有文件夹在根。 如果一个部门需要合作的子文件夹说…
根\ cmp2_ofc2 \ 2017年
我会告诉他们,把它移到顶端,做一些类似的事情
根\ cmp2_ofc2_2017
…并授予双方访问权限。
希望有所帮助。