A maneira como eu o implementei, com base nas recomendações da Microsoft para o Windows Server 2003 (encontrado no MCSE Paced Training Kit para exame 70-294: Planejando, implementando e mantendo uma infra-estrutura do Microsoft Windows Server 2003 Active Directory ) é:
- Crie um grupo de segurança global para cada posição dentro da organização (por exemplo, CEO, diretor de vendas, etc.)
- Crie um grupo de segurança local de domínio para cada recurso (ou dois grupos se você estiver dando a algumas pessoas premissa somente leitura e outras modificarem a permissão) (por exemplo, Modificadores de arquivo de vendas, Leitores de dados de marketing)
- Atribuir permissões a seus recursos, usando os grupos de segurança locais do domínio (por exemplo, dar permissões para Modificar nos grupos de vendas para os grupos Modificadores de arquivos de vendas)
- Atribuir usuários aos grupos de segurança globais relevantes (por exemplo, tornar seu CEO um membro do grupo de segurança do CEO)
- Adicione os grupos de segurança globais aos grupos de segurança locais do domínio relevante (por exemplo, Adicionar o grupo Diretor de vendas ao grupo Modificadores de arquivos de vendas)
Então você tem: Conta de usuário - > Grupo de segurança Função do trabalho - > Grupo de segurança Permissão de recursos - > Permissões de recursos
Fazendo desta forma, você pode acabar com muitos grupos, particularmente grupos locais de domínio, se você tiver muitos recursos, mas isso o mantém relativamente simples e passível de manutenção. Tentar ser inteligente e ter vários níveis de grupos aninhados é uma receita para complexidade e desastre, confie em mim!
Também seria uma boa idéia garantir que ninguém além de Administradores tenha Controle Total de todos os arquivos. Isso impede que os usuários tentem ser espertos demais e configurem suas próprias permissões.