文件服务器是 IT 生活中的现实,我很好奇是否存在任何普遍接受的做法(我犹豫在这里使用“最佳”这个词)来创建组并应用权限来管理客户端对文件服务器上的共享文件夹的访问。
在我目前的工作中,我最终继承了相当多不同的方法来实现这一点,从 ACL 上的数十个组到直接将单个用户放在文件系统上。我的任务是清理混乱局面,并想出某种标准化的方法在整个公司范围内实现这一点(大型环境,15 万名员工,9 万台客户端计算机,100 台文件服务器)。
从我对这个问题的理解来看,似乎每个受保护资源的每个所需访问级别至少需要一个组。这种模型似乎提供了最大的灵活性,因为除非您需要支持不同的访问级别,否则您无需再次接触文件系统权限。缺点是,与在多个共享资源中重复使用同一个组相比,您将创建更多的组。
以下示例说明了我的意思:
在名为 FILE01 的文件服务器上有一个名为“测试结果”的共享,并且您有需要只读访问权限、读写访问权限和完全控制权限的人。1 个安全资源 * 3 个访问级别 = 3 个安全组。在我们的 AD 环境中,我们将这些创建为通用组,以便我们可以轻松地从林中的任何域添加用户/组。由于每个组都唯一地引用共享文件夹和访问级别,因此组名称包含这些“关键”数据,权限如下:
"FILE01-Test Results-FC" -- Full Control
"FILE01-Test Results-RW" -- Read & Write
"FILE01-Test Results-RO" -- Read Only
通常,我们还会包含内置系统帐户和具有完全控制访问权限的内置管理员。现在可以使用组成员身份来处理谁实际获得此共享的访问权限的任何更改,而不必触及 ACL(通过添加代表特定业务角色(如经理、技术人员、QA 分析师等)的“角色”组,或仅添加个人用户进行一次性访问)。
两个问题:
1) 这实际上是处理权限的推荐或有效方法吗?还是我缺少一些更简单、更优雅的解决方案?我对任何使用继承但仍保留灵活性的解决方案特别感兴趣,因为当情况发生变化时,不必重新对文件系统的大部分进行 ACL。
2) 您如何处理环境中的文件服务器权限和组结构?对于那些也在大型环境中工作的人来说,这是加分项。
答案1
我的方法是不使用文件/目录级别的文件权限;使用文件共享级别的权限,并将整个服务器文件系统数据驱动器设置为每个人完全控制(这变得毫无意义)。
多年来(10 多年),我发现 NTFS 权限更加复杂,导致的错误也更多。如果权限设置错误,或者继承被破坏,数据就会暴露,而且很难找到和查看。此外,您还会遇到移动/复制问题...移动文件的用户也会移动文件的 ACL,而复制会继承目标 ACL。
以相同的方式使用您的读/写组,但在整个文件共享中使用 Comp Mgmt MMC。不要做全部...用户会因为部分知识/良好意图而自毁前程。
答案2
这种方法还不错。一般来说,永远不要使用单个用户来添加权限 - 使用组。但是,组可以跨资源使用。例如,HR 可能对文件具有 RW 访问权限,而 MANAGERS 可能具有 R 访问权限。您还可以设置基于访问权限的枚举。请查看以下网络广播:
TechNet 网络广播:Windows Server 2003 管理系列(第 4 部分,共 12 部分):组管理(级别 200)
基于访问的枚举可以使生活变得更轻松,请参见:
ABE 可以帮助减少您必须管理的不同股份的数量。
答案3
您的方法基本上就是我的方法。
我唯一想补充的是:
1)我会通过评估他们在各个服务器上的需求来添加到您的“角色”方案中,而不仅仅是在一台服务器上,您可能会遇到异常值,但我的理论是当您遇到它们时,创建另一个组。根据我的经验,有一个异常值的地方就会有很多。
2) 我强烈要求重新评估是否需要将通用组用于所有用途,因为通用组内的成员和组会被复制到全局目录服务器,而域本地和全局只会将组复制到全局目录服务器,因此,使用通用组会导致复制失败。因此,如果您在通用组中进行了更改,则会启动复制,而全局和域本地则不会。
答案4
建议的方法似乎相当可靠。不过,需要注意的一点是最初设置文件共享的方式。建议的做法是拥有一个顶级共享,其中包含子文件夹,然后向其分配组权限。然后,NTFS 可以绕过顶级文件夹上的“遍历文件夹/执行文件”并授予对子文件夹的访问权限。
该结构将看起来像 \servername\sharename\group-folder,只需在“sharename”文件夹上设置共享权限,并在“group-folder”文件夹上设置实际的 NTFS 权限。
通过这种设置,您的文件服务器也将能够表现得更好。
我通常会做的其他事情是为组制定一个命名约定,使得组名与组文件夹名相同(如果需要,可以附加 FC/RW/RO),然后将 UNC 粘贴到文件夹的组描述中(以便您的登录脚本可以读回它并以此方式设置驱动器映射,并且这样您就可以更轻松地看到哪些共享文件夹适用于哪些组)。