我有一个文件服务器,其中有 20 个共享文件夹,每个部门一个,并且他们的员工通过与该文件夹同名的 AD 组拥有写权限。
问题是有些人必须在其他部门文件夹中写入文件,因此他们也对该文件夹具有写权限,从而授予他们对任何文件的完全访问权限。
我想将这种做法改为这样:
我将根据公司的每个职位创建一个 AD 组,并根据职位需求为每个职位授予对不同文件夹的读写权限。这样,每个员工都将拥有对文件的正确访问权限,如果员工更改了职位,我只需从职位组中进行更改即可。
有什么建议么?
答案1
您正在寻找的最佳实践风格是 AGDLP。Wikipedia 对此有很好的描述。http://en.wikipedia.org/wiki/AGDLP
简而言之,就是根据人员的角色将他们放入通用组或全局组,并以特定角色命名。(例如将 Team1 和 Team3 组放入 DataTransferAppUsers 中。)然后为权限创建域本地组(组 Share_DataTransfer_RW 应该具有对该共享的修改访问权限),然后将通用组放入该共享中。
不要害怕将用户组设置得具体而小,然后将它们嵌套或将较小的组合并为更一般的组。尽量避免将用户组细分为一个或两个以上的不同层次。将人员组与角色组分开,角色组中应该只有组。尽量避免将单个用户放入域本地权限组。
用户 -> 用户组 -> 角色组 -> 域本地权限组 -> ACL
现在,当您添加一个人时,您只需要将他加入几个用户组。当您为现有角色添加新资源时,您可以创建 1 或 2 个组(只读和/或读写)并将该角色应用于该角色。当您创建新角色时,您只需创建一个组,然后查找它将使用的资源。
因此,您可以使用 AD 将所有内容联系在一起。纪律源于永远不要将用户(MS 术语中的帐户)或用户组直接应用于本地系统上的任何 ACL。这样,您就可以相信在 AD 中构建的权限树视图之外不会发生任何事情。
假设有一个共享文件夹 \nyc-ex-svr-01\groups\bizdev;组织市场部内的一个业务开发组,在 Active Directory 中表示为(现有的)全局安全组“业务开发团队成员”;并且要求整个组对共享文件夹具有读写访问权限,遵循 AGDLP 的管理员可能会按如下方式实施访问控制:
在 Active Directory 中创建一个名为“更改 \nyc-ex-svr-01\groups\bizdev 的权限”的新域本地安全组。
授予该域本地组对“bizdev”文件夹的 NTFS“更改”权限集(读取、写入、执行/修改、删除)。(请注意,NTFS 权限与共享权限不同。)
使“业务开发团队成员”组成为“更改 \nyc-ex-svr-01\groups\bizdev 的权限”组的成员。
为了使用此示例突出 RBAC 的优势,如果业务开发团队需要对“bizdev”文件夹的额外权限,则系统管理员只需要编辑单个访问控制条目 (ACE),而不是在最坏的情况下,编辑与有权访问该文件夹的用户一样多的 ACE。
答案2
我想说,根据工作概况,这是最佳做法。