Назад | Перейти на главную страницу

Общий доступ к файлам в домене Windows

Как назначить одного пользователя (или пару пользователей) общей подпапке, но ограничить ее для других?

Моя компания и я столкнулись с проблемой, связанной с настройкой нашей текущей среды общего доступа к файлам, но вместо того, чтобы пытаться исправить проблемы, мы собираемся перестроить систему на новой платформе. На этот раз мы хотим сделать это с нуля.

Однако проблема, с которой мы сталкиваемся, заключается в том, как уйти от назначения одному пользователю разрешений на доступ к папке. Насколько я понимаю, вы назначаете пользователя группе (безопасности), а затем добавляете эту группу в разрешения NTFS. Однако у нас есть ряд папок, в которых нам нужно предоставить доступ к папке определенному пользователю, но не пользователям в этой группе.

Приношу свои извинения, если я не объясняю это четко. Я постараюсь как можно лучше прояснить в ответах.

Насколько я понимаю, вы назначаете пользователя группе (безопасности), а затем добавляете эту группу в разрешения NTFS. Однако у нас есть ряд папок, в которых нам нужно предоставить доступ к папке определенному пользователю, но не пользователям в этой группе.

Это общее правило, но если вам нужно назначить разрешения только одному пользователю, вы, безусловно, можете это сделать.

Другой вариант - создать группу безопасности, добавить эту учетную запись одиночного пользователя в группу и назначить ей разрешения. Таким образом, если вам нужно предоставить другим пользователям доступ к папке, вы можете просто добавить их в группу.

С точки зрения Linux и совместного использования через Samba я установил общий ресурс верхнего уровня равным 770 с установленным битом setgid (так что все созданные файлы / каталоги сохраняют принадлежность группы владельцев верхнего уровня общего ресурса) и предоставляю доступ к нему foo группа. Затем создайте подкаталог, настройте perms таким же образом, но также измените владение группой на группу, уникальную для пользователя (ов), которому требуется доступ к ограниченной области foo-admins или что угодно. Это хорошо соответствует вашим группам безопасности в Windows.

Проблема при назначении разрешений конкретному пользователю Бобу заключается в том, что, когда Боб уходит на пенсию / теряет / выигрывает в лотерею и нанимается замена, вы должны выследить все «особые» вещи, принадлежащие Бобу, и сменить владельца / разрешения.

Поэтому с точки зрения кроссплатформенности используйте модель групп безопасности, а не отдельных пользователей за пределами их $HOME акция или эквивалент. Облегчает неизбежную смену персонала.

Общее практическое правило заключается в том, что если папка предназначена для определенного пользователя, то есть папка на домашнем диске или конкретная конфиденциальная общая папка с отсканированными документами, установите разрешения для отдельного пользователя.

Если папка предназначена для отдела или программы / приложения, создайте группу безопасности для конкретного использования, добавьте пользователя (-ей) в группу и назначьте разрешения группе.

Этот метод позволяет расширяться в будущем, когда они решат, что хотят, чтобы дополнительные люди имели доступ, и, если вам когда-либо понадобится провести техническое обслуживание в будущем или повторно создать общий ресурс, люди, управляющие, будут напрямую решать, у кого должен быть доступ. .

Одна вещь, которую я узнал в этой беседе, заключается в том, что нам не нужно быть настолько жесткими с «правилами», когда дело доходит до настройки общих ресурсов и разрешений, но соблюдение лучших практик избавит нас от проблем в долгосрочной перспективе. Где-то посередине - ответ.

Хотелось бы, чтобы был способ увидеть, как другие компании справляются с этой проблемой, поскольку я уверен, что я не единственный, кто с ней сталкивался.

Еще раз спасибо за все комментарии, советы и предложения - особенно за то, что я не чувствовал себя полным придурком. Это очень ценно.