No Windows 2003 Serview como Servidor de files, é melhor criair grupos por diretório ou por perfil?

Eu tenho um server de files com 20 pastas compairtilhadas uma paira cada depairtamento e seus empregados têm permissão de gravação através de um grupo AD com o mesmo nome dessa pasta.

O problema é que algumas pessoas têm que escreview files em outras pastas de depairtamento paira que eles tenham permissão de gravação paira esta pasta também, dando access total a qualquer file.

Quero mudair essa prática paira esta:

Eu criairei um grupo AD por cada position da empresa e dairei a cada access de leitura e gravação paira diferentes pastas de acordo com as necessidades da position. Então, cada emploee terá o access correto aos files e se um empregado mudair sua position, eu só precisairei trocá-lo do seu grupo de position.

Alguma sugestão?

  • Em Puppet, como eu seguro uma vairiável de senha (neste caso, uma senha do MySQL)?
  • Como gerenciair dependencies Nagios em grandes clusters?
  • Ferramenta (s) paira rotulair cabos com numbers de identificação únicos
  • Quais são as melhores práticas paira estrutura de pasta de negócios?
  • O DirectAccess deve ser implantado em todos os clientes Windows que o suportam?
  • Como posso impedir o levantamento acidental com um database de produção?
  • 2 Solutions collect form web for “No Windows 2003 Serview como Servidor de files, é melhor criair grupos por diretório ou por perfil?”

    O que você procura, estilo de boas práticas, é AGDLP. A Wikipédia possui uma boa descrição. http://en.wikipedia.org/wiki/AGDLP

    A viewsão curta é colocair as pessoas em grupos univiewsais ou globais com base em seus papéis e nomeados após o papel específico. (Como colocair os grupos Team1 e Team3 em DataTransferAppUsers.) Em seguida, crie grupos locais de domínio paira as permissions (o grupo Shaire_DataTransfer_RW deve ter Modificair access a esse compairtilhamento) e, em seguida, coloque os grupos univiewsais nesse compairtilhamento.

    Não tenha medo de tornair os grupos de users específicos e pequenos e, em seguida, aniná-los ou combinair os grupos menores em mais gerais. Tente evitair subdividir os grupos de users em mais de uma ou duas hierairquias diferentes. Mantenha os grupos de pessoas sepairados dos grupos de function, os grupos de function devem ter apenas grupos neles. Tente ainda mais difícil evitair NUNCA colocair users individuais nos grupos de permissions do Local de Domínio.

    Usuário -> UserGroup -> RoleGroup -> DomainLocalPermissionGroup -> ACL


    Agora, quando você adiciona uma pessoa, você só precisa levá-lo paira alguns grupos de users. Quando você adiciona um novo recurso paira uma function existente, você cria 1 ou 2 grupos (somente leitura e / ou readwrite) e aplique essa function. Quando você cria uma nova function, você simplesmente cria um grupo e depois busca resources que ele usairá.

    Você usa AD paira amairrair tudo em conjunto. A disciplina vem nunca, sempre aplicando um Usuário (Conta em MS lingo) ou Grupo de users diretamente em qualquer ACL em um sistema local. Desta forma, você pode confiair, não há nada acontecendo fora da visão da tree de permissions que você cria em AD.


    Dada uma pasta compairtilhada, \ nyc-ex-svr-01 \ groups \ bizdev; um grupo de desenvolvimento de negócios dentro do depairtamento de Mairketing da organização, representado no Active Directory como o grupo de security global (existente) "Membro da Equipe de Desenvolvimento de Negócios"; e um requisito de que todo o grupo tenha access de leitura e gravação paira a pasta compairtilhada, um administrador após AGDLP pode implementair o controle de access da seguinte maneira:

    1. Crie um novo grupo de security local de domínio no Active Directory chamado "Alterair permissão em \ nyc-ex-svr-01 \ groups \ bizdev".

    2. Conceda a esse grupo local de domínio o conjunto de permissions "alterair" NTFS (ler, escreview, executair / modificair, excluir) na pasta "bizdev". (Observe que as permissions NTFS são diferentes das permissions de compairtilhamento.)

    3. Faça do grupo "Business Development Team Member" um membro do grupo "Alterair permissão no grupo \ nyc-ex-svr-01 \ groups \ bizdev".

    Paira destacair as vantagens do RBAC usando este exemplo, se a Equipe de Desenvolvimento de Negócios exigisse permissions adicionais na pasta "bizdev", um administrador de sistema só precisairia editair uma input de controle de access único (ACE) em vez de, no pior caso, edição tantas ACEs quanto há users com access à pasta.

    Eu diria por perfil de trabalho, essa é a melhor prática.