直到今天,我们都有一个 2003 DC,我所有的文件夹映射都是在登录脚本中完成的。(网络使用......)
我们现在已经迁移到 2008 R2,我想以“简单的方式”创建/管理新的映射
如果我有多个映射到多个组(一些是只读/其他是读/写)有什么简单的方法吗?我是否应该为每个 OU 创建一个 GPO(我们每个部门都有自己的 OU) - 并在那里添加驱动器映射(不是文件夹映射)?*没有读/写选项
或者我应该继续从共享文件夹属性本身进行管理?(右键单击 NAS 上的共享名称)
答案1
首先,所有安全都应该使用文件夹和共享上的 NTFS 权限进行管理(请记住,这是两组权限,并且是互斥的)。要做到这一点,您需要安全组,这是无法绕过的。不将某人映射到驱动器不是“安全”。
其次,要映射驱动器,我将使用组策略首选项。如上所述,它不会处理文件和文件夹权限,但它可以让您非常轻松、干净地映射驱动器。
最后,组策略首选项的优点在于,如果您的环境适合它,它们将允许您使用 1 个 GPO 为许多不同的用户映射许多不同的共享,使用项目级 tar 定位根据 OU、安全组等进行过滤。
说真的,如果您刚刚升级到 2008(我希望您指的是 2008 R2,因为 2008 现在已经是 2 个版本了),那么请阅读“组策略首选项”。哦,您可能需要修补任何 XP / 2003 客户端才能使它们正常工作。