Windowsドメインのファイル共有
単一のユーザー(または数人のユーザー)を共有サブフォルダーに割り当てるが、他のユーザーにはどのように制限しますか?
私と私は、現在のファイル共有環境のセットアップ方法に問題を抱えていますが、問題を修正しようとするのではなく、新しいプラットフォームでシステムを再構築します。今回はゼロからやりたいと思います。
ただし、私たちが直面している問題は、フォルダーにアクセスするための単一のユーザーアクセス許可の割り当てを回避する方法です。私の理解では、ユーザーを(セキュリティ)グループに割り当ててから、そのグループをNTFSアクセス許可に追加します。ただし、特定のユーザーにフォルダーへのアクセス権を付与する必要があるが、そのグループのユーザーには付与しないフォルダーがいくつかあります。
明確に説明していない場合はお詫び申し上げます。できる限り明確に対応させていただきます。
私の理解では、ユーザーを(セキュリティ)グループに割り当ててから、そのグループをNTFSアクセス許可に追加します。ただし、特定のユーザーにフォルダーへのアクセス権を付与する必要があるが、そのグループのユーザーには付与しないフォルダーがいくつかあります。
これが一般的なルールですが、アクセス許可を1人のユーザーだけに割り当てる必要がある場合は、それを確実に行うことができます。
別のオプションは、セキュリティグループを作成し、この唯一のユーザーアカウントをグループに追加して、そのグループに権限を割り当てることです。そうすれば、他のユーザーにフォルダーへのアクセスを許可する必要がある場合は、単にグループに追加できます。
一般的な経験則では、フォルダーが特定のユーザー用である場合、つまりホームドライブフォルダーまたは特定の機密スキャンドキュメント共有の場合は、個々のユーザーのアクセス許可を設定します。
フォルダーが部門またはプログラム/アプリケーション用である場合は、特定の用途のためのセキュリティグループを作成し、ユーザーをグループに追加して、グループにアクセス許可を割り当てます。
この方法では、追加のユーザーにアクセスを許可する必要があると判断した場合に、将来的に拡張することができます。将来的にメンテナンスを行う必要がある場合や共有を再作成する必要がある場合は、アクセスを許可するユーザーを管理しているユーザーに簡単に伝えることができます。 。
Linuxの観点から、Sambaを介した共有では、setgidビットを設定してトップレベルの共有を770に設定し(作成されたすべてのファイル/ディレクトリは、共有のトップレベルのグループ所有者の船を保持します)、そこにfooへのアクセスを許可します。グループ。次に、サブディレクトリを作成し、同じ方法で権限を設定しますが、グループの所有権を、制限された領域foo-adminsなどにアクセスする必要があるユーザーに固有のグループに変更します。これは、Windowsのセキュリティグループにうまく対応しています。
特定のユーザーBobに権限を割り当てる際の問題は、Bobが引退/死亡/ロトを勝ち取り、代替が雇われた場合、Bobが所有するすべての「特別な」ものを探し出して、所有権/権限を変更する必要があることです。
したがって、クロスプラットフォームの観点からは、$HOME共有または同等のものを超える個々のユーザーではなく、セキュリティグループモデルを使用してください。避けられない人事異動に対処しやすくします。
このスレッドで私が学んだことの1つは、共有とアクセス許可の設定に関して「ルール」にそれほど厳格である必要はないということですが、ベストプラクティスに従うことで、長期的には問題を回避できます。真ん中のどこかに答えがあります。
私が直面しているのは私だけではないので、他の企業がこの問題をどのように処理するかを確認する方法があったらいいのにと思います。
皆さんのコメント、アドバイス、提案に改めて感謝します。特に、完全なナックルヘッドのように感じさせないようにしてくれてありがとう。大変感謝しております。