O que você está procurando, o melhor estilo de práticas, é o AGDLP. A Wikipedia tem uma boa descrição disso. link
A versão curta é colocar pessoas em grupos universais ou globais com base em seus papéis e nomeados após o papel específico. (Como colocar os grupos Team1 e Team3 em DataTransferAppUsers.) Em seguida, crie grupos de Domínio Local para as permissões (o grupo Share_DataTransfer_RW deve ter acesso Modify a esse compartilhamento) e coloque os grupos universais nesse compartilhamento.
Não tenha medo de tornar os grupos de usuários específicos e pequenos e, em seguida, aninhe-os ou combine os grupos menores em outros mais gerais. Tente evitar subdividir os grupos de usuários em mais de uma ou duas hierarquias diferentes. Mantenha os grupos de pessoas separados dos grupos de funções, os grupos de funções devem ter apenas grupos. Tente ainda mais para evitar que você coloque usuários individuais nos grupos de permissões do Domínio Local.
Utilizador - > Grupo de usuários - > RoleGroup - > DomainLocalPermissionGroup - > ACL
Agora, quando você adiciona uma pessoa, só precisa colocá-lo em alguns grupos de usuários. Quando você adiciona um novo recurso a uma função existente, cria 1 ou 2 grupos (somente leitura e / ou readwrite) e aplica essa função a ela. Quando você cria uma nova função, basta criar um grupo e procurar os recursos que ele usará.
Você usa o AD para unir tudo. A disciplina vem de nunca, nunca aplicando um usuário (conta no jargão MS) ou grupo de usuário diretamente para qualquer ACL em um sistema local. Dessa forma, você pode confiar que não há nada acontecendo fora da visão da árvore de permissões que você criou no AD.
Considerando uma pasta compartilhada, \ nyc-ex-svr-01 \ groups \ bizdev; um grupo de desenvolvimento de negócios dentro do departamento de Marketing da organização, representado no Active Directory como o grupo de segurança global (existente) "Membro da Equipe de Desenvolvimento de Negócios"; e um requisito de que todo o grupo tenha acesso de leitura / gravação à pasta compartilhada, um administrador que segue o AGDLP pode implementar o controle de acesso da seguinte forma:
-
Crie um novo grupo de segurança local de domínio no Active Directory chamado "Alterar permissão em \ nyc-ex-svr-01 \ groups \ bizdev ".
-
Conceda a esse grupo local de domínio o conjunto de permissões "alterar" do NTFS (ler, gravar, executar / modificar, excluir) na pasta "bizdev". (Observe que as permissões de NTFS são diferentes das permissões de compartilhamento).
-
Torne o grupo "Membro da equipe de desenvolvimento de negócios" um membro do grupo "Alterar permissão no grupo \ nyc-ex-svr-01 \ groups \ bizdev".
Para destacar as vantagens do RBAC usando este exemplo, se a Equipe de Desenvolvimento de Negócios exigisse permissões adicionais na pasta "bizdev", um administrador do sistema precisaria apenas editar uma entrada de controle de acesso (ACE) em vez de, na pior das hipóteses. caso, editando quantas ACEs houver usuários com acesso à pasta.