В настоящее время я работаю с разрешениями для файлов в сети с Windows Server 2012 Active Directory следующим образом: я настраиваю один контроллер домена, на контроллере домена я создаю пользователей и группы. После этого я выбираю одну папку для совместного использования и в параметрах общего доступа добавляю всех, у кого есть доступ для чтения / записи (я делаю это, потому что мне сказали, что другие действия создают проблемы).
Затем во вложенных папках, чтобы ограничить доступ, я перехожу на вкладку безопасности свойств папок и добавляю группы, которым я хочу запретить доступ, и запретить разрешения на чтение / запись.
Это нормально, однако я считаю, что это не лучший подход. Действительно, если группы постоянно добавляются, и одна папка предназначена только для доступа один group, мне всегда нужно будет добавлять новые и запрещать доступ к ним.
Один из реальных жизненных сценариев, по которым это может произойти, выглядит следующим образом: в одной компании есть папки для проектов, в каждом проекте есть определенные подмножества сотрудников, работающих над ним. Поэтому они создают по одной группе для каждого проекта, а затем к папке проекта должна иметь доступ только группа этого конкретного проекта. Если добавляются новые проекты, потребуется добавить новую группу в каждую папку проекта, а это может быть утомительно.
Итак, как можно более эффективно запретить доступ к файлам и папкам, не изменяя параметры безопасности при добавлении новых групп?
Почему вы используете запретить ACE? Вы должны сделать что-то вроде этого:
Root of the share (Authenticated Users - Read - This Folder Only)
|
|
----Subfolder1 (Subfolder1 Users - Read/Write - This folder and Subfolders)
|
|
----Subfolder2 (Subfolder2 Users - Read/Write - This folder and Subfolders)
И так далее. Вы не должны регулярно использовать запрещающие ACE. За последние 10 лет я могу вспомнить, может быть, 3 раза, когда я когда-либо использовал запрет на NTFS ACL.