Dav*_*her 10 filesystems active-directory ntfs access-control-list
文件服务器是 IT 中的一个事实,我很好奇是否有任何普遍接受的做法(我在这里犹豫使用“最佳”一词)来说明如何创建组并应用权限来管理客户端对共享文件夹的访问文件服务器。
在我目前的工作中,我最终继承了很多不同的方法,从 ACL 上的数十个组到将单个用户直接放在文件系统上。我的任务是清理混乱,并在整个公司(大型环境、150k 人员、90k 客户端计算机、100 台文件服务器)中提出某种标准化方法来解决这个问题。
根据我对这个问题的理解,似乎每个受保护资源的每个所需访问级别至少需要一个组。这种模型似乎提供了最大的灵活性,因为除非您需要支持不同的访问级别,否则您不需要再次触及文件系统权限。缺点是与跨多个共享资源重复使用同一组相比,您将创建更多组。
这是一个示例,显示了我的意思:
在名为 FILE01 的文件服务器上有一个名为“测试结果”的共享,有些人需要只读访问、读写访问和完全控制。1 个安全资源 * 3 个访问级别 = 3 个安全组。在我们的 AD 环境中,我们将这些创建为通用组,以便我们可以轻松地从林中的任何域添加用户/组。由于每个组唯一地引用一个共享文件夹和访问级别,组名称包含这些“关键”数据,因此权限如下:
"FILE01-Test Results-FC" -- Full Control
"FILE01-Test Results-RW" -- Read & Write
"FILE01-Test Results-RO" -- Read Only
通常,我们还会包括内置 SYSTEM 帐户和具有完全控制访问权限的内置管理员。现在可以使用组成员身份来处理对谁实际获得此共享访问权限的任何更改,而不必接触 ACL(通过添加代表特定业务角色的“角色”组,例如经理、技术员、QA 分析师等,或仅添加个人一次性访问用户)。
两个问题:
1)这实际上是处理权限的推荐或有效方法,还是我错过了一些更简单、更优雅的解决方案?我对任何使用继承但仍然保持灵活性的解决方案特别感兴趣,因为当事情发生变化时不必重新 ACL 大部分文件系统。
2) 您如何处理环境中的文件服务器权限和组结构?那些也在大型环境中工作的人的奖励积分。
这种做法还不错。通常,永远不要使用单个用户添加权限 - 使用组。但是,组可以跨资源使用。例如,HR 可能具有对文件的 RW 访问权限,而 MANAGERS 可能具有 R。您还可以设置基于访问的枚举。看看下面的网络广播:
TechNet 网络广播:Windows Server 2003 管理系列(第 4 部分,共 12 部分):组管理(级别 200)
基于访问的枚举可以让生活更轻松,请参见:
ABE 可以帮助减少您必须管理的不同份额的数量。
小智 5
我的方法是不使用文件/目录级别的文件权限;使用文件共享级别权限,并将整个服务器文件系统数据驱动器设置为“所有人完全控制”(这变得没有实际意义)。
多年来(10 年以上),我发现 NTFS 权限更复杂并导致更多错误。如果权限设置错误,或者继承被破坏,你就会暴露数据并且很难找到和查看它。另外,您会遇到移动/复制问题……移动文件的用户也会移动文件的 ACL,而复制会继承目标 ACL。
使用相同的读/写组,但使用 Comp Mgmt MMC 在整个文件共享上。不要完全......用户会以部分知识/最佳意图拍摄自己。
| 归档时间: |
|
| 查看次数: |
5877 次 |
| 最近记录: |