Правильный алгоритм разграничения доступа к папкам пользователей в AD?
Доброго времени суток. В связи с тем, что всё ешё пытаюсь разобраться в путанице которая мне досталась, нужно на данном этапе разграничить права доступа.
Будет поднят AD на WinServer2019. Все пользователи будут перенесены в домен (сейчас всё без домена). Соответственно, вопрос в том, как разграничить доступ к тем или иным папкам пользователей в разных отделах.
У всех отделов есть папка1(ну или несколько) в которых расположены определённые файлы, которые относятся к этим отделам, но этими папками/файлами должны пользоваться и другие отделы.
Но в тоже время, в этих отделах есть и другая --папка2(ну или несколько), которыми только должны пользоваться внутри отдела и доступа к этим папкам не будет у других отделов.
Как правильно разграничить это в AD? Создавать для каждого отдела группу/подразделение, при расшаривании папок выбирать группы для нужных папок, выставлять права и разграничивать доступ на чтение/запись ?
Или как то по другому сделать лучше и быстрее?
Я понимаю должна быть шара, но специфика файлов да и будет путаница по отделам. Поэтому файлы хранятся локально на ПК у юзеров. В дальнейшем что то придумаю по другому.
Папки создаются не по отделам, а по функциям-ролям.
Можно создать отдельную папку на каждый отдел, поскольку пописать все функции-роли внутри отдела весьма затруднительно, но все папки используемые несколькими подразделениями делаются именно по функциональному принципу.
Пример:
Папка отделов
..Папка Отдела продаж
..Папка Бухгалтерии
..Папка Юридической службы
Папка договоров
..Папка договора с поставщиками
..Папка договора с клиентами
Папки собираются и монтируются пользователям с помощью DFS.
Права пользователей делаются по модели AGDLP. На каждый объект доступа( как вариант папку, но это может быть и не папка ) создается access группа, являющаяся локальной доменной группой, для нее прописываются права. На каждую бизнес роль создается глобальная доменная группа. Пользователи включаются в глобальные доменные группы, глобальные доменные группы включаются в локальные доменные группы( access группы ).
Пример:
Папка отдела продаж
Локальная доменная группа saledepread( назначены права доступа к папке отдела продаж на чтение )
Локальная доменная группа saledepwrite( назначены права доступа к папке отдела продаж на запись )
Глобальная группа saledep( включена в локальные группы saledepread и saledepwrite )
Пользователь Василий Пупкин( включен в глобальную группу saledep ).
AlexanderSuz, Для того и DFS чтобы потом можно было перемещать папки прозрачно для пользователей в другие места. А собирается все это в виртуальную структуру
AlexanderSuz, "папка" DFS находится на сервере, выглядит как папка с общим доступом при это является "виртуальной", т.е. подпапки находятся не с самой папке, а могут быть произвольным образом раскиданы по сети. Это позволяет в частности не делать жесткой связи между структурой ресурсов доступных пользователю( папки - подпапки ) и структурой фактического расположения этих файлов-папок.
Пример:
Папка отделов
..Папка Отдела продаж реальный путь d:\depfoldes\saledep
..Папка Бухгалтерии e:\depfoldes\buhdep
..Папка Юридической службы d:\legaldep
Папка договоров
..Папка договора с поставщиками d:\contracts\supplier
..Папка договора с клиентами d:\contracts\client
При этом с помощью DFS мы собираем эти папки в одну виртуальную папку
\\domain.local\sale
В которой будут две подпапки являющиеся фактически линками( для пользователя выглядят как папки )
Папка отдела( указывает на d:\depfoldes\saledep )
Договора( указывает на d:\contracts\client )
Пользователь реальный путей не видит, для него эти подпапки будут выглядеть как \\domain.local\sale\Папка отдела и \\domain.local\sale\Договора
После чего данные папки можно примонтировать пользователю в виде сетевого диска, это удобно.
nApoBo3, Получается, на сервере создают папку DFS с названием: "\\отдел продаж\имя юзера". Уже там, я нужные папки монтирую в DFS папку "\\отдел продаж\имя юзера\папка.отдела1", их может быть куча так?
После этого просто раскидываю права, и эту папку (в которой куча подпапок\файлов), видит только отдел продаж. И не видят другие отделы. Даже без монтажа сетевого диска.
Но в тоже время, если мне понадобится собрать папки\файлы, которые общие для каждого отдела, я делаю DFS папку например: "\\corpname\user\папка.отдела.общая1" внутри имена юзеров и туда монтирую папки\файлы юзеров для общего пользования. Так? И все видят их.
Вы создаете на сервере обычные папки с разбивкой по функционалу. Одна функция - одна папка. Плюс делаете папки по кол-ву отделов, в них все сотрудники советующего отдела могут делать с файлами все что угодно и сами определят внутреннее деление по функционалу.
В папку отдела помещается только то, что нужно ТОЛЬКО и исключительно одному отделу. Пользователи не могут получить доступ к файлам другого отдела, даже если очень хочется, даже если сказал директор, нужно настаивать на структуре которая более менее прозрачна для обслуживания.
Для любой общей роли в которой участвуют несколько отделов, отдельная папка.
На каждую папку вы создаете две локальные доменные группы( доменные группы бывают локальные, глобальные и универсальные ).
Одну имя папки read, другую имя папки write. Для каждой группы вы назначаете права на соответствующую папку, для одной на чтение, для другой на запись.
Дальше вы создаете глобальные доменные группы по количеству крупных бизнес ролей( например сотрудники отдела продаж, руководители отдела продаж, сотрудники колцентра, руководители среднего звена и т.д. )
Созданные глобальные доменные группы вы включаете в локальные доменные группы в соответствии с правами данных групп. Например глобальную группу сотрудники отдела продаж вы включаете в локальные группы папка отдела продаж чтение, папка отдела продаж запись, папка договора с клиентами чтение, папка договора с клиентами запись, папка реквизиты организации чтение ).
Дальше вы создаете DFS узел Отдел продаж. В этот DFS узел вы включаете traget на советующие папки.
Таким образом в данном DFS узле у вас из всех источников будут собраны все папки нужные отделу продаж.
После чего данный DFS узел у вас доступен по доменному пути( если вы его опубликуете в AD, там есть такая галочка ), например \\domainname\sale.
Доступ к данному DFS узлу вы можете настроить отдельно, но это будет влиять в основном на возможность посмотреть содержимое самого узла, т.е. увидеть список папок в этом узле, но не повлияет на возможность на доступ к сами данным, поскольку доступ к данным будет определятся NTFS разрешениями которые вы настроили на предыдущем шаге.
Вы можете конечно сделать и отдельный DSF узел на каждого пользователя, но это очень странная идея и поддерживать ее будет весьма затруднительно, честно говоря не могу представить зачем вообще такое может понадобится.
Да, если вам нужно обеспечить общий доступ к папка расположенным не на сервере, а на локальном компьютер пользователя это делает ровно этим же способом, при этом вы можете в DFS узел включать папки вообще из любых расположений, а не только расположенные на том же сервере и даже можете сделать репликацию между несколькими расположениями. Но это имеет отношение только к общему сетевому доступу. Локальный досутп проще делать по локальному, а не сетевому пути. Права по группам при этом настраиваются аналогично, только локальные группы называются по полному пути к каталогу( если только у вас такой каталог есть не на каждом ПК, если на каждом и везде права одинаковые можно использовать одно имя группы )
nApoBo3, Ну ваш способ, больше через шару DFS на сервере. Увы, сейчас все файлы хранятся локально у пользователей на ПК и переносить это всё займет время (ну и место под это), так как куча папок и файлов.
Поэтому и спросил, как правильно доступ прописать группам на папки, которые именно у самих пользователей в отделах. Получается монтировать в DFS смысла большого нет?
nApoBo3, Почему я писал про то, что бы под юзера папка была ещё, что бы зайдя, другой пользователь знал, что это папка от определённого юзера и с его ПК. А не всё в одном отделе от всех юзеров.
На каждый отдел создать OU и в нем группу пользователей Администраторы и Пользователи
В соответствии с правами добавлять туда пользователей
Кроме этого создать группы Администраторы и Пользователи для всей организации
\\company\fileshare - разрешения Администраторы и Пользователи уровня организации добавлять только нижележащие группы по отделам, не пользователей
\\company\fileshare\Отдел 1\Папка 1 -
\\company\fileshare\Отдел 1\Папка 2 - сброс разрешений и добавление группы Администраторы Отдел 1 и Пользователи Отдел 1
AlexanderSuz, Да, только учитывайте что запрещающая политика имеет приоритет перед разрешающей, ну и смотрите результирующие права для пользователя, есть такая закладка
Alexey Dmitriev, Ну это организационные подразделения. Но, как я помню они используются при разбросе отделов по географическому положению и для лёгкого админства на месте например. Ну и если 20-50 юзеров то не особо нужно создавать его.
Просто выше вашего ответа, посоветовали как раз его создать. Может есть в этом какой-то смысл.
Простой
