@AlexanderSuz
Будет поднят AD на WinServer2019. Все пользователи будут перенесены в домен (сейчас всё без домена). Соответственно, вопрос в том, как разграничить доступ к тем или иным папкам пользователей в разных отделах.
Пример:
-Отдел1
—папка1
—папка2
-Отдел2
—папка1
—папка2
-Отдел3
—папка1
—папка2
….
-Отдел10
—папка1
—папка2
У всех отделов есть папка1(ну или несколько) в которых расположены определённые файлы, которые относятся к этим отделам, но этими папками/файлами должны пользоваться и другие отделы.
Но в тоже время, в этих отделах есть и другая —папка2(ну или несколько), которыми только должны пользоваться внутри отдела и доступа к этим папкам не будет у других отделов.
Как правильно разграничить это в AD? Создавать для каждого отдела группу/подразделение, при расшаривании папок выбирать группы для нужных папок, выставлять права и разграничивать доступ на чтение/запись ?
Или как то по другому сделать лучше и быстрее?
Я понимаю должна быть шара, но специфика файлов да и будет путаница по отделам. Поэтому файлы хранятся локально на ПК у юзеров. В дальнейшем что то придумаю по другому.
Решения вопроса 0
Ответы на вопрос 3
@nApoBo3
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами
Папки собираются и монтируются пользователям с помощью DFS.
Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).
Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).
@firedragon
В соответствии с правами добавлять туда пользователей
Кроме этого создать группы Администраторы и Пользователи для всей организации
\companyfileshare — разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей
\companyfileshareОтдел 1Папка 1 —
\companyfileshareОтдел 1Папка 2 — сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1
@SignFinder