Правильный алгоритм разграничения доступа к папкам пользователей в AD?

От: Из: Общие



@AlexanderSuz

Доброго времени суток. В связи с тем, что всё ешё пытаюсь разобраться в путанице которая мне досталась, нужно на данном этапе разграничить права доступа.

Будет поднят AD на WinServer2019. Все пользователи будут перенесены в домен (сейчас всё без домена). Соответственно, вопрос в том, как разграничить доступ к тем или иным папкам пользователей в разных отделах.

Пример:

-Отдел1
—папка1
—папка2
-Отдел2
—папка1
—папка2
-Отдел3
—папка1
—папка2
….
-Отдел10
—папка1
—папка2

У всех отделов есть папка1(ну или несколько) в которых расположены определённые файлы, которые относятся к этим отделам, но этими папками/файлами должны пользоваться и другие отделы.

Но в тоже время, в этих отделах есть и другая —папка2(ну или несколько), которыми только должны пользоваться внутри отдела и доступа к этим папкам не будет у других отделов.

Как правильно разграничить это в AD? Создавать для каждого отдела группу/подразделение, при расшаривании папок выбирать группы для нужных папок, выставлять права и разграничивать доступ на чтение/запись ?

Или как то по другому сделать лучше и быстрее?

Я понимаю должна быть шара, но специфика файлов да и будет путаница по отделам. Поэтому файлы хранятся локально на ПК у юзеров. В дальнейшем что то придумаю по другому.


Решения вопроса 0


Ответы на вопрос 3



@nApoBo3

Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами

Папки собираются и монтируются пользователям с помощью DFS.

Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).



@firedragon

На каждый отдел создать OU и в нем группу пользователей Администраторы и Пользователи
В соответствии с правами добавлять туда пользователей
Кроме этого создать группы Администраторы и Пользователи для всей организации

\companyfileshare — разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей

\companyfileshareОтдел 1Папка 1 —
\companyfileshareОтдел 1Папка 2 — сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1



@SignFinder

Здесь Описание прав групп безопасности? я расписывал простую структуру групп безопасности для выдачи прав, привязанную именно к структуре папок.

Похожие записи:

  1. Самый безопасный способ запретить доступ ко всем файлам для учетной записи службы Git Runner?
  2. GNOME 3: установка неизменных значений ключа dconf для каждого пользователя
  3. Как защитить файлы от случайного удаления, когда их должны редактировать несколько пользователей?
  4. Синхронизировать некоторые (но не все) каталоги с помощью rsync и с фильтром расширений файлов, защищая одну-единственную папку?
  5. JavaScript: правильный пользователь шифрования SJCL в скрипте Google Apps

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *