Windows - 项目级别定位：文件夹权限

概述

我们在新环境中工作了几个月，一切都很顺利。唯一的问题是管理。我们有多个部门、多家公司、多个地点/办公室等，管理起来很有挑战性意大利细面条目前存在的。

---

系统信息

操作系统：Windows Server 2016

以下涉及两台机器（最终实现高可用性）

• 域控制器（GPO、Active Directory）
• 存储服务器 (DFS)

---

结构

我们将一个驱动器映射到我们的用户，连接到DFS。DFS
有一堆子文件夹，而子文件夹又有更多子文件夹。结构看起来类似于以下内容：

Shares
├── Systems
|   ├── System1
|   ├── System2
├── Users
|   ├── Accounting
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2
|   |   ├── Company2
|   |   |   ├── Office1
|   |   |   ├── Office2
|   ├── General
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2

我们有多个安全组，例如：

Accounting
Company1
Company2
Office1
Office2

---

问题

我们无法弄清楚如何在文件夹级别应用某种项目级别定位以确保正确访问。

例如：

User1属于以下群体：

Accounting
Company1
Office1

User2属于以下群体：

Accounting
Company1
Office2

从逻辑上讲，我们的设置应如下：

• User1只能访问\\example.com\Shares\Users\Accounting\Company1\Office1
• User2只能访问\\example.com\Shares\Users\Accounting\Company1\Office2

不幸的是，当您添加多个部门（其中一些部门可能会重叠）以及职位/部门角色的可能性（例如Manager谁应该有权访问各自部门的管理级文档）时，这个问题会在更大范围内存在。

---

此外

我们希望隐藏用户无权访问的任何文件夹。例如，在上面的例子中，由于用户不属于相应的安全组，因此用户User2甚至不知道文件夹的存在\\example.com\Shares\Users\Accounting\Company1\Office1

我们希望能够根据用户所在的 OU 应用一些安全组。我们当前的 OU 结构如下所示（与一些安全组非常匹配，例如公司或者办公室）。

OU 结构示例

Users
    Company1
        Office1
            User1
        Office2
            User2

上述配置（目前尚未测试）应该理论上用于诸如打印机分配之类的工作，如果需要，我们甚至可以Floor为每个打印机添加一个Office，并按楼层对用户进行分组以分配默认打印机、辅助打印机等。

---

问题

1. 我们如何确保我们的结构与文件夹权限一起工作，就像理论上带有打印机分配（即项目级定位）？
2. 我们如何自动将安全组分配给特定组织单位下的用户？
3. 如果上述某些内容无法实现，我们如何才能确保用户的易用性，同时提高 IT 生产力并改善文件管理，进而改善用户管理？