在域服务器 2003 AD 的目录中为不同组授予权限的最佳实践

在域服务器 2003 AD 的目录中为不同组授予权限的最佳实践

如果您有类似 SuperiorFolder 的文件夹以及该文件夹下的 Sub1、Sub2、Sub3、Sub4、Sub5 文件夹。

并且您有组 1、组 2、组 3、组 4、组 5,他们对这些文件夹具有不同的访问权限。

最佳做法是针对您找到的不同类别创建全局组(安全)吗?例如全局组 1、全局组 2、全局组 3、全局组 4、全局组 5。

然后创建域本地组(安全),如 Sub1_full、Sub1_read Sub2_full、Sub2_modify、Sub3_full、Sub4_read、Sub5_write 等。

当然,将不同的用户添加到正确的组中,并将域本地组添加到 ACL 以调整 NTFS。

并以完全方式开放共享权限并使用 NTFS 锁定。

这是在 Domain Server 2003 上执行此操作以向目录上的不同用户提供不同权限的最佳做法吗?

答案1

有一些最佳实践,例如将全局组嵌套到文件服务器上的域本地组中,然后仅将本地组应用于共享和 NTFS 权限,是的。这可以追溯到 Win2000 时代:群组最佳实践

然而,就像 SvW 所评论的那样,如今它实际上归结为您的环境、要求,以及通常您自己的 IT 经验,“我一直以来都是这样做的”。

例如,就我自己而言,我倾向于始终做以下事情:

SHARES = 域管理员获得完全权限,每个人都获得读/写权限

然后,我根据适当命名的域本地组在共享的 NTFS 级别锁定权限。我可能会或可能不会创建全局组来嵌套到域本地组中。我通常使用域本地组,因为它们可以包含远程受信任的域组,这使得将来在多林环境中更容易。

由于某种原因必须中断继承的子文件夹也可能获得唯一组。其他时候,我会偷懒,直接将 2 或 3 个域用户添加到共享中。

有时我甚至会直接在服务器上创建本地组,将域用户/组放入该服务器本地组中并将其应用于共享。

但 YMMV,其他人可能不喜欢我的做法。我的建议是创建一个易于理解、管理并可移交给队友或最终接替者的环境。

相关内容