Как назначить одного пользователя (или пару пользователей) общей подпапке, но ограничить ее для других?
Моя компания и я столкнулись с проблемой, связанной с настройкой нашей текущей среды общего доступа к файлам, но вместо того, чтобы пытаться исправить проблемы, мы собираемся перестроить систему на новой платформе. На этот раз мы хотим сделать это с нуля.
Однако проблема, с которой мы сталкиваемся, заключается в том, как уйти от назначения одному пользователю разрешений на доступ к папке. Насколько я понимаю, вы назначаете пользователя группе (безопасности), а затем добавляете эту группу в разрешения NTFS. Однако у нас есть ряд папок, в которых нам нужно предоставить доступ к папке определенному пользователю, но не пользователям в этой группе.
Приношу свои извинения, если я не объясняю это четко. Я постараюсь как можно лучше прояснить в ответах.
Насколько я понимаю, вы назначаете пользователя группе (безопасности), а затем добавляете эту группу в разрешения NTFS. Однако у нас есть ряд папок, в которых нам нужно предоставить доступ к папке определенному пользователю, но не пользователям в этой группе.
Это общее правило, но если вам нужно назначить разрешения только одному пользователю, вы, безусловно, можете это сделать.
Другой вариант - создать группу безопасности, добавить эту учетную запись одиночного пользователя в группу и назначить ей разрешения. Таким образом, если вам нужно предоставить другим пользователям доступ к папке, вы можете просто добавить их в группу.
С точки зрения Linux и совместного использования через Samba я установил общий ресурс верхнего уровня равным 770 с установленным битом setgid (так что все созданные файлы / каталоги сохраняют принадлежность группы владельцев верхнего уровня общего ресурса) и предоставляю доступ к нему foo
группа. Затем создайте подкаталог, настройте perms таким же образом, но также измените владение группой на группу, уникальную для пользователя (ов), которому требуется доступ к ограниченной области foo-admins
или что угодно. Это хорошо соответствует вашим группам безопасности в Windows.
Проблема при назначении разрешений конкретному пользователю Бобу заключается в том, что, когда Боб уходит на пенсию / теряет / выигрывает в лотерею и нанимается замена, вы должны выследить все «особые» вещи, принадлежащие Бобу, и сменить владельца / разрешения.
Поэтому с точки зрения кроссплатформенности используйте модель групп безопасности, а не отдельных пользователей за пределами их $HOME
акция или эквивалент. Облегчает неизбежную смену персонала.
Общее практическое правило заключается в том, что если папка предназначена для определенного пользователя, то есть папка на домашнем диске или конкретная конфиденциальная общая папка с отсканированными документами, установите разрешения для отдельного пользователя.
Если папка предназначена для отдела или программы / приложения, создайте группу безопасности для конкретного использования, добавьте пользователя (-ей) в группу и назначьте разрешения группе.
Этот метод позволяет расширяться в будущем, когда они решат, что хотят, чтобы дополнительные люди имели доступ, и, если вам когда-либо понадобится провести техническое обслуживание в будущем или повторно создать общий ресурс, люди, управляющие, будут напрямую решать, у кого должен быть доступ. .
Одна вещь, которую я узнал в этой беседе, заключается в том, что нам не нужно быть настолько жесткими с «правилами», когда дело доходит до настройки общих ресурсов и разрешений, но соблюдение лучших практик избавит нас от проблем в долгосрочной перспективе. Где-то посередине - ответ.
Хотелось бы, чтобы был способ увидеть, как другие компании справляются с этой проблемой, поскольку я уверен, что я не единственный, кто с ней сталкивался.
Еще раз спасибо за все комментарии, советы и предложения - особенно за то, что я не чувствовал себя полным придурком. Это очень ценно.