Windows - Таргетинг на уровне элементов: разрешения для папок

Краткое

Мы работаем в нашей новой среде уже пару месяцев, и все работает просто отлично. Единственная проблема - это управление. У нас есть несколько отделов, несколько компаний, несколько филиалов / офисов и т. Д., И нам сложно управлять спагетти который в настоящее время существует.

Системная информация

Операционная система: Windows Server 2016

Следующее относится к двум машинам (в конечном итоге в режиме высокой доступности).

Контроллер домена (GPO, Active Directory)
Сервер хранения (DFS)

Структура

Мы сопоставляем диск с нашими пользователями, который подключается к DFS.
В DFS есть множество вложенных папок, которые, в свою очередь, содержат больше вложенных папок. Структура выглядит примерно так:

Shares
├── Systems
|   ├── System1
|   ├── System2
├── Users
|   ├── Accounting
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2
|   |   ├── Company2
|   |   |   ├── Office1
|   |   |   ├── Office2
|   ├── General
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2

У нас есть несколько групп безопасности, например следующие:

Accounting
Company1
Company2
Office1
Office2

Проблема

Мы не можем понять, как мы можем применить какой-то таргетинг на уровне элементов на уровне папки, чтобы обеспечить надлежащий доступ.

Например:

User1 принадлежит к следующим группам:

Accounting
Company1
Office1

User2 принадлежит к следующим группам:

Accounting
Company1
Office2

По логике, наша установка должна быть следующей:

User1 должен иметь доступ только к \\example.com\Shares\Users\Accounting\Company1\Office1
User2 должен иметь доступ только к \\example.com\Shares\Users\Accounting\Company1\Office2

К сожалению, эта проблема существует в гораздо большем масштабе, когда вы добавляете несколько отделов (некоторые из которых могут перекрываться) и возможность роли заголовка / отдела (например, Manager у которых должен быть доступ к документам уровня управления для своих соответствующих отделов).

Дополнительно

Мы бы предпочли скрыть любые папки, к которым у пользователей нет доступа. В приведенном выше примере, например, User2 даже не знал бы о существовании \\example.com\Shares\Users\Accounting\Company1\Office1 поскольку пользователь не принадлежит к соответствующим группам безопасности

Мы хотели бы иметь возможность применять некоторые группы безопасности в соответствии с OU, в которое помещен пользователь. Наша текущая структура OU похожа на следующую (которая близко соответствует некоторым группам безопасности, таким как Компания или Офис).

Пример структуры OU

Users
    Company1
        Office1
            User1
        Office2
            User2

Приведенная выше конфигурация (на данный момент не проверена) должна теоретически работать с такими вещами, как назначение принтера, где мы могли бы добавить даже Floor каждому Office при желании и сгруппируйте пользователей по этажам, чтобы назначить принтеры по умолчанию, вторичные принтеры и т. д.

Вопросы

Как мы можем гарантировать, что наша структура работает с разрешениями папок, как если бы теоретически с назначением принтера (т. е. таргетингом на уровне элемента)?
Как мы можем автоматически назначать группы безопасности пользователям в определенных организационных подразделениях?
Если что-то из вышеперечисленного невозможно, как мы можем обеспечить простоту использования для наших пользователей, одновременно увеличивая производительность ИТ и улучшая управление файлами и, следовательно, управление пользователями?

Я думаю, что ваша структура папок в порядке, вам просто нужно утомить первоначальную настройку разрешений. И всем надеюсь, что вам никогда не придется снова размножаться сверху вниз.

Во-первых, на уровне общего ресурса включите «перечисление на основе доступа». Это скроет папки, на которые у пользователей нет прав.

По поводу папок несколько вещей:

С помощью NTFS ACL вы можете управлять наследованием, установив для ACL значение «только эта папка». Так что, если вы пытаетесь запретить User2 видеть офис 1, это просто. Установите права доступа к папке только для этой папки.

Например: Компания 1 = группа компаний 1, только для чтения, только эта папка Office 1 = группа офисов 1, только для чтения, только эта папка Пользователь 1 = группа пользователей 1, изменение (или что-то еще), распространение по умолчанию

Что касается вашего менеджера, просто сделайте их частью обоих офисов, ничего страшного, они увидят оба.

СЕЙЧАС для проблемы, которую вы не ожидаете, что происходит, когда менеджер ПЕРЕМЕЩАЕТ файл 1 из офиса 1 в офис 2? Этот файл по умолчанию будет иметь те же разрешения, что и исходная папка. (перемещается в ЖЕ NTFS-том = сохранить разрешение исходного местоположения). Способ переопределения - это установка клиентской настройки (на стороне рабочего стола), которая инструктирует Windows превратить операцию «перемещения» в операцию копирования + удаления источника.

Теперь, что я делал в своей последней компании, у меня была политика разрешений NTFS только для корневой подпапки, я НИКОГДА не вложил разрешения. Смысл...

Корень \ папка 1 Корень \ папка 2 Корень \ папка 3

Поэтому я бы применил химические завивки только в папках 1, 2 и 3 и никогда ниже. Упрощает повторное распространение разрешений

Тогда просто используйте схему именования, например

Корень \ cmp1_ofc1 Корень \ cmp2_ofc2

Это имеет дополнительное преимущество: пользователь будет видеть все папки, к которым у него есть доступ, в корне. Если отделу нужно сотрудничать в подпапке, скажем ...

Корень \ cmp2_ofc2 \ 2017

Я бы сказал им, переместил бы его наверх и сделал бы что-то вроде

корень \ cmp2_ofc2_2017

... и предоставьте указанные разрешения для доступа обеим сторонам.

Надеюсь, это поможет.