在我目前的工作中,我最终继承了相当多的不同方法,从ACL上的几十个组到将个人用户直接放在文件系统上.我的任务是清理混乱并提出某种标准化的方法来处理整个公司(大型环境,150k人员,90k客户端计算机,100个文件服务器).
根据我对该问题的理解,您似乎每个安全资源的每个所需访问级别至少需要一个组.此模型似乎提供了最大的灵活性,因为您不需要再次触摸文件系统权限,除非您需要支持不同的访问级别.缺点是您将创建更多组,而不是在多个共享资源中重复使用同一组.
在名为FILE01的文件服务器上有一个名为“测试结果”的共享,您可能需要只读访问权限,读写访问权限和完全控制权限. 1个安全资源* 3个访问级别= 3个安全组.在我们的AD环境中,我们将它们创建为通用组,以便我们可以轻松地从林中的任何域添加用户/组.由于每个组唯一引用共享文件夹和访问级别,因此组名称包含那些“关键”数据,因此权限如下:
"FILE01-Test Results-FC" -- Full Control "FILE01-Test Results-RW" -- Read & Write "FILE01-Test Results-RO" -- Read Only
通常,我们还会包含内置SYstem帐户和内置管理员以及完全控制访问权限.现在可以使用组成员资格来处理实际获得对此共享的访问权限的任何更改,而不必触及ACL(通过添加代表特定业务角色的“角色”组,如经理,技术人员,QA分析师等,或仅仅是个人用户一次性访问).
两个问题:
1)这实际上是处理权限的推荐或有效方法还是我错过了一些更简单,更优雅的解决方案?我会对任何使用继承的解决方案特别感兴趣,但仍然保持灵活性,以便在事情发生变化时不必重新ACL大部分文件系统.
2)您如何处理环境中的文件服务器权限和组结构?那些也在大型环境中工作的人的奖励积分.
多年来(10),我发现NTFS权限更复杂,导致更多错误.如果权限设置错误,或者继承被破坏,则会暴露数据并且很难找到并查看它.此外,您还会遇到移动/复制问题…用户移动文件也会移动文件的ACL,而复制会继承目标ACL.
使用您的读/写组相同,但使用Comp Mgmt MMC在整个文件共享上.不要做得充分…用户将使用部分知识/最佳意图拍摄自己.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。