Windows - Segmentação por nível de item: permissões de pasta

Question

Windows - Segmentação por nível de item: permissões de pasta

#1 resposta do (0 votos)

1

Breve

Estamos trabalhando em nosso novo ambiente há alguns meses e tudo funciona muito bem. O único problema é o gerenciamento. Temos vários departamentos, várias empresas, vários locais / escritórios, etc. e achamos um desafio gerenciar o espaguete que existe atualmente.

Informações do sistema

Sistema operacional: Windows Server 2016

O seguinte se refere a duas máquinas (eventualmente em Alta Disponibilidade)

Controlador de domínio (GPO, Active Directory)
Servidor de armazenamento (DFS)

Estrutura

Mapeamos uma unidade para nossos usuários que se conecta a um DFS .
O DFS tem várias subpastas, que, por sua vez, têm mais subpastas. A estrutura é semelhante à seguinte:

Shares
├── Systems
|   ├── System1
|   ├── System2
├── Users
|   ├── Accounting
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2
|   |   ├── Company2
|   |   |   ├── Office1
|   |   |   ├── Office2
|   ├── General
|   |   ├── Company1
|   |   |   ├── Office1
|   |   |   ├── Office2

Temos vários grupos de segurança, como os seguintes:

Accounting
Company1
Company2
Office1
Office2

Problema

Não conseguimos descobrir como podemos aplicar algum tipo de segmentação no nível do item no nível da pasta para garantir o acesso adequado.

Por exemplo:

User1 pertence aos seguintes grupos:

Accounting
Company1
Office1

User2 pertence aos seguintes grupos:

Accounting
Company1
Office2

Logicamente, o seguinte deve ser nossa configuração:

User1 só deve ter acesso a \example.com\Shares\Users\Accounting\Company1\Office1
User2 só deve ter acesso a \example.com\Shares\Users\Accounting\Company1\Office2

Infelizmente, esse problema existe em uma escala muito maior quando você adiciona vários departamentos (alguns dos quais podem se sobrepor) e a possibilidade de função de título / departamento (como Manager que deve ter acesso a documentos de nível de gerenciamento para seus respectivos departamentos).

Além disso

Preferimos ocultar as pastas às quais os usuários não têm acesso. No exemplo acima, por exemplo, User2 nem saberia da existência de \example.com\Shares\Users\Accounting\Company1\Office1 , já que o usuário não pertence aos respectivos grupos de segurança

Gostaríamos de poder aplicar alguns grupos de segurança de acordo com a UO em que o usuário é colocado. Nossa estrutura de UO atual é semelhante à seguinte (que corresponde a alguns grupos de segurança, como Empresa ou < strong> Office ).

Exemplo de estrutura de OU

Users
    Company1
        Office1
            User1
        Office2
            User2

A configuração acima (não testada até agora) deve teoricamente funcionar para coisas como atribuição de impressoras, onde podemos adicionar até Floor a cada Office e usuários do grupo por andar para atribuir impressoras padrão, impressoras secundárias, etc.

Perguntas

Como podemos garantir que nossa estrutura funciona com permissões de pasta, como seria teoricamente com atribuição de impressora (por exemplo, segmentação no nível do item)?
Como podemos atribuir grupos de segurança automaticamente a usuários em unidades organizacionais específicas?
Se alguns dos itens acima não forem possíveis, como podemos garantir a facilidade de uso para nossos usuários, aumentando a produtividade de TI e melhorando o gerenciamento de arquivos e, consequentemente, o gerenciamento de usuários?

dfs file-permissions windows-server-2016 group-policy

por ctwheels 04.10.2017 / 23:11

1 resposta

Tags dfs file-permissions windows-server-2016 group-policy

O Mysql não pode iniciar - Não foi possível encontrar o arquivo de espaço de tabela válido para o usuário final não pode enviar por e-mail uma pessoa específica do outlook, mas eu posso - a NDR foi recebida, o endereço não é mais válido

score 0 · Answer 1

Acho que sua estrutura de pastas está correta, você só terá um trabalho tedioso inicializando as permissões. E espere para todos, que você nunca tenha que re-propagar de cima para baixo.

Primeiro, em um nível de compartilhamento, ative "enumeração baseada em acesso". Isto irá esconder pastas para as quais os usuários não têm permissão.

Quanto às pastas, algumas coisas:

Com o NTFS ACL, você pode controlar a herança configurando a ACL para "somente esta pasta". Então, se você está tentando impedir que o User2 veja o office 1, é simples. Defina as permissões de pasta apenas para esta pasta.

Por exemplo: Company one = company 1 group, somente leitura, somente esta pasta Escritório 1 = escritório 1 grupo, somente leitura, somente esta pasta Usuário 1 = usuário 1 grupo, modificar (ou qualquer outro), propagação padrão

Quanto ao seu gerente, apenas faça-os parte de ambos os escritórios, nada demais, eles verão os dois.

AGORA para o problema que você não está antecipando, o que acontece quando o gerenciador move o arquivo 1 do escritório 1 para o escritório 2? Esse arquivo por padrão terá as mesmas permissões que a pasta de origem. (move-se no mesmo volume NTFS = mantém a permissão do local de origem). A maneira de sobrescrever isso é definir uma configuração de cliente (lado da área de trabalho) que instrui as janelas a transformar uma operação de "movimentação" em uma operação de cópia + exclusão de fonte.

Agora, o que fiz na minha última empresa, é que tinha uma política de permissões NTFS apenas na subpasta raiz, NUNCA aninhei as permissões. Significado ...

Pasta raiz \ 1 Raiz \ pasta 2 Raiz \ pasta 3

Então eu só aplicaria os perms na pasta 1, 2 e 3 e nunca abaixo. Torna as permissões de propagação mais fáceis

Depois é só usar um esquema de nomenclatura, como

Raiz \ cmp1_ofc1 Raiz \ cmp2_ofc2

Isso tem o benefício adicional de que um usuário verá todas as pastas às quais ele tem acesso na raiz. Se um departamento precisava colaborar em uma subpasta de dizer ...

Raiz \ cmp2_ofc2 \ 2017

Eu diria a eles, mova-os para o topo e faça algo como

root \ cmp2_ofc2_2017

... e conceda as permissões fornecidas para ambas as partes acessarem.

Espero que ajude.