Правильный алгоритм разграничения доступа к папкам пользователей в AD?



@AlexanderSuz

Доброго времени суток. В связи с тем, что всё ешё пытаюсь разобраться в путанице которая мне досталась, нужно на данном этапе разграничить права доступа.

Будет поднят AD на WinServer2019. Все пользователи будут перенесены в домен (сейчас всё без домена). Соответственно, вопрос в том, как разграничить доступ к тем или иным папкам пользователей в разных отделах.

Пример:

-Отдел1
–папка1
–папка2
-Отдел2
–папка1
–папка2
-Отдел3
–папка1
–папка2
….
-Отдел10
–папка1
–папка2

У всех отделов есть папка1(ну или несколько) в которых расположены определённые файлы, которые относятся к этим отделам, но этими папками/файлами должны пользоваться и другие отделы.

Но в тоже время, в этих отделах есть и другая –папка2(ну или несколько), которыми только должны пользоваться внутри отдела и доступа к этим папкам не будет у других отделов.

Как правильно разграничить это в AD? Создавать для каждого отдела группу/подразделение, при расшаривании папок выбирать группы для нужных папок, выставлять права и разграничивать доступ на чтение/запись ?

Или как то по другому сделать лучше и быстрее?

Я понимаю должна быть шара, но специфика файлов да и будет путаница по отделам. Поэтому файлы хранятся локально на ПК у юзеров. В дальнейшем что то придумаю по другому.


Решения вопроса 0


Ответы на вопрос 3



@nApoBo3

Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами

Папки собираются и монтируются пользователям с помощью DFS.

Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).



@firedragon

На каждый отдел создать OU и в нем группу пользователей Администраторы и Пользователи
В соответствии с правами добавлять туда пользователей
Кроме этого создать группы Администраторы и Пользователи для всей организации

\companyfileshare – разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей

\companyfileshareОтдел 1Папка 1 –
\companyfileshareОтдел 1Папка 2 – сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1



@SignFinder

Здесь Описание прав групп безопасности? я расписывал простую структуру групп безопасности для выдачи прав, привязанную именно к структуре папок.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *