active-directory – 这是文件服务器权限的推荐/有效方法吗?
文件服务器是IT生活中的一个事实,我很好奇是否有任何普遍接受的做法(我在这里犹豫使用“最好”这个词)如何创建组并应用权限来管理客户端对共享文件夹的访问权限一个文件服务器. 在我目前的工作中,我最终继承了相当多的不同方法,从ACL上的几十个组到将个人用户直接放在文件系统上.我的任务是清理混乱并提出某种标准化的方法来处理整个公司(大型环境,150k人员,90k客户端计算机,100个文件服务器). 根据我对该问题的理解,您似乎每个安全资源的每个所需访问级别至少需要一个组.此模型似乎提供了最大的灵活性,因为您不需要再次触摸文件系统权限,除非您需要支持不同的访问级别.缺点是您将创建更多组,而不是在多个共享资源中重复使用同一组. 这是一个显示我的意思的例子: 在名为FILE01的文件服务器上有一个名为“测试结果”的共享,您可能需要只读访问权限,读写访问权限和完全控制权限. 1个安全资源* 3个访问级别= 3个安全组.在我们的AD环境中,我们将它们创建为通用组,以便我们可以轻松地从林中的任何域添加用户/组.由于每个组唯一引用共享文件夹和访问级别,因此组名称包含那些“关键”数据,因此权限如下: "FILE01-Test Results-FC" -- Full Control "FILE01-Test Results-RW" -- Read & Write "FILE01-Test Results-RO" -- Read Only 通常,我们还会包含内置SYSTEM帐户和内置管理员以及完全控制访问权限.现在可以使用组成员资格来处理实际获得对此共享的访问权限的任何更改,而不必触及ACL(通过添加代表特定业务角色的“角色”组,如经理,技术人员,QA分析师等,或仅仅是个人用户一次性访问). 两个问题: 1)这实际上是处理权限的推荐或有效方法还是我错过了一些更简单,更优雅的解决方案?我会对任何使用继承的解决方案特别感兴趣,但仍然保持灵活性,以便在事情发生变化时不必重新ACL大部分文件系统. 2)您如何处理环境中的文件服务器权限和组结构?那些也在大型环境中工作的人的奖励积分. 我的方法是不使用文件/目录级文件权限;使用文件共享级别权限,并将整个服务器文件系统数据驱动器设置为Everyone完全控制(这变得没有实际意义).多年来(10),我发现NTFS权限更复杂,导致更多错误.如果权限设置错误,或者继承被破坏,则会暴露数据并且很难找到并查看它.此外,您还会遇到移动/复制问题…用户移动文件也会移动文件的ACL,而复制会继承目标ACL. 使用您的读/写组相同,但使用Comp Mgmt MMC在整个文件共享上.不要做得充分…用户将使用部分知识/最佳意图拍摄自己. (编辑:ASP站长网) |