首先,我在一家公司工作,很久以前当他们为每个部门实施文件共享时,他们也打破了 NTFS 权限的基本规则,并对某些文件夹的用户使用了显式权限。举一个我们设置的例子,每个用户都有一个 W: 驱动器。W: 驱动器层次结构类似于以下内容:
女:\人力资源
W:\法律
W:\财务
W:\通讯
我一度很确定,这些文件夹组织得很好。但随后出现了一个复杂的情况,即法律部门的某人需要访问人力资源文件,财务部门的某人需要访问法律文件,还有一些奇怪的情况,来自不同法律部门的 2 个不同的人需要访问法律文件夹中的特定文件夹,但他们不希望其他任何人访问此文件夹。IT 部门当时认为最好的解决方案是向这些人授予明确的权限。
自从我 7 年前开始从事这项工作以来,我一直在暗示为这些实例创建安全组(即使它只为一个用户帐户),因为当用户离开时,我们从所有组中删除它们,并将它们放入前员工 OU 5 年,但他们的明确权限仍保留在文件共享中的文件夹上。
当我暗示要为这些实例创建安全组时,相反的论点是,“当人们离开时,我们将如何管理所有空组?我们将如何在 AD 中组织和命名这些组?”
对于第一个参数,我建议使用一个简单的 powershell 脚本来删除空组,或者只是将它们保留在原位,以供未来要求对特定文件夹具有相同访问权限的员工使用。
不过,第二个论点是我在想出一个好的解决方案时遇到了麻烦。因此,在那篇简短的小说之后,我只想在面对我上面列出的情况时询问有关在 AD 中组织安全组以获得 NTFS 权限的任何提示或示例。
我的一个想法是为特殊的 NTFS 权限组创建一个 OU,以它们授予访问权限的文件夹命名这些组,并将完整的文件路径放在描述中。
如果有人有更好的想法,或者有人以不同的方式这样做,我愿意接受建议。
active-directory network-share windows-server-2008-r2 file-permissions security-groups