部門ごとに1つずつ20の共有フォルダーを持つファイルサーバーがあり、その従業員は、そのフォルダーと同じ名前のADグループを介した書き込み権限を持っています。
問題は、他の部門のフォルダにファイルを書き込む必要があるため、このフォルダの書き込み権限もあり、すべてのファイルへのフルアクセスを許可する必要があるということです。
私はその慣習をこれに変えたい:
会社の役職ごとにADグループを作成し、役職のニーズに応じて、さまざまなフォルダーへの読み取りおよび書き込みアクセス権を各会社に付与します。したがって、各従業員はファイルに正しくアクセスでき、従業員があなたのポジションを変更した場合、私はあなたのポジショングループからそれを変更するだけで済みます。
助言がありますか?
あなたが探しているのは、ベストプラクティススタイルであるAGDLPです。ウィキペディアにはそれについてのわかりやすい説明があります。 http://en.wikipedia.org/wiki/AGDLP
短いバージョンでは、役割に基づいて、特定の役割にちなんで名付けられたユニバーサルグループまたはグローバルグループにユーザーを配置します。 (グループTeam1とTeam3をDataTransferAppUsersに配置するのと同じです。)次に、アクセス許可のドメインローカルグループを作成し(グループShare_DataTransfer_RWにはその共有への変更アクセス権が必要です)、ユニバーサルグループをその共有に配置します。
ユーザーグループを特定の小さなものにしてから、それらをネストするか、小さなグループをより一般的なグループに結合することを恐れないでください。ユーザーグループを1つまたは2つ以上の異なる階層に細分化しないようにしてください。人々のグループを役割グループとは別にしてください。役割グループにはグループのみを含める必要があります。個々のユーザーをドメインローカル権限グループに入れないように、さらに努力してください。
ユーザー->ユーザーグループ->ロールグループ-> DomainLocalPermissionGroup-> ACL
これで、人を追加するときに、その人をいくつかのユーザーグループに入れるだけで済みます。既存のロールに新しいリソースを追加するときは、1つまたは2つのグループ(読み取り専用および/または読み取り/書き込み)を作成し、その1つのロールをそれに適用します。新しい役割を作成するときは、1つのグループを作成して、それが使用するリソースを探すだけです。
したがって、ADを使用してすべてを結び付けます。この規律は、ユーザー(MS用語ではアカウント)またはユーザーのグループをローカルシステム上のACLに直接適用することは決してありません。このようにして、ADで構築したパーミッションツリーのビューの外では何も起こっていないことを信頼できます。
共有フォルダーを指定すると、\ nyc-ex-svr-01\groups\bizdev;組織のマーケティング部門内のビジネス開発グループ。ActiveDirectoryでは(既存の)グローバルセキュリティグループ「ビジネス開発チームメンバー」として表されます。また、グループ全体が共有フォルダーへの読み取り/書き込みアクセス権を持っているという要件がある場合、AGDLPに従う管理者は、次のようにアクセス制御を実装できます。
ActiveDirectoryに「\ nyc-ex-svr-01\groups\bizdevのアクセス許可を変更する」という名前の新しいドメインローカルセキュリティグループを作成します。
そのドメインローカルグループに、「bizdev」フォルダーのNTFS「変更」アクセス許可セット(読み取り、書き込み、実行/変更、削除)を付与します。 (NTFSアクセス許可は共有アクセス許可とは異なることに注意してください。)
「ビジネス開発チームメンバー」グループを「\ nyc-ex-svr-01\groups\bizdevの権限の変更」グループのメンバーにします。
この例を使用してRBACの利点を強調するために、ビジネス開発チームが「bizdev」フォルダーに対する追加のアクセス許可を必要とする場合、システム管理者は、最悪の場合、編集する代わりに、単一のアクセス制御エントリ(ACE)を編集するだけで済みます。フォルダへのアクセス権を持つユーザーの数と同じ数のACE。
仕事のプロフィールからすると、それがベストプラクティスです。