Правильный алгоритм разграничения доступа к папкам пользователей в AD?

Доброго времени суток. В связи с тем, что всё ешё пытаюсь разобраться в путанице которая мне досталась, нужно на данном этапе разграничить права доступа.

Будет поднят AD на WinServer2019. Все пользователи будут перенесены в домен (сейчас всё без домена). Соответственно, вопрос в том, как разграничить доступ к тем или иным папкам пользователей в разных отделах.

Пример:

-Отдел1
--папка1
--папка2
-Отдел2
--папка1
--папка2
-Отдел3
--папка1
--папка2
....
-Отдел10
--папка1
--папка2

У всех отделов есть папка1(ну или несколько) в которых расположены определённые файлы, которые относятся к этим отделам, но этими папками/файлами должны пользоваться и другие отделы.

Но в тоже время, в этих отделах есть и другая --папка2(ну или несколько), которыми только должны пользоваться внутри отдела и доступа к этим папкам не будет у других отделов.

Как правильно разграничить это в AD? Создавать для каждого отдела группу/подразделение, при расшаривании папок выбирать группы для нужных папок, выставлять права и разграничивать доступ на чтение/запись ?

Или как то по другому сделать лучше и быстрее?

Я понимаю должна быть шара, но специфика файлов да и будет путаница по отделам. Поэтому файлы хранятся локально на ПК у юзеров. В дальнейшем что то придумаю по другому.
  • Вопрос задан
  • 282 просмотра
Пригласить эксперта
Ответы на вопрос 3
@nApoBo3
Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами

Папки собираются и монтируются пользователям с помощью DFS.

Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).

Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).
Ответ написан
firedragon
@firedragon
Senior .NET developer
На каждый отдел создать OU и в нем группу пользователей Администраторы и Пользователи
В соответствии с правами добавлять туда пользователей
Кроме этого создать группы Администраторы и Пользователи для всей организации

\\company\fileshare - разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей

\\company\fileshare\Отдел 1\Папка 1 -
\\company\fileshare\Отдел 1\Папка 2 - сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1
Ответ написан
SignFinder
@SignFinder
Wintel\Unix Engineer
Здесь Описание прав групп безопасности? я расписывал простую структуру групп безопасности для выдачи прав, привязанную именно к структуре папок.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы