域服务器2003 AD目录上授予不同组权限的最佳实践
如果您有像SuperiorFolder和Sub1、Sub2、Sub3、Sub4、Sub5文件夹这样的文件夹。
您有Group1、Group2、Group3、Group4、Group5,它们可以在这些文件夹中访问不同的权限。
是否为您发现的不同类别创建全局组(安全性)的最佳实践?像全球集团1,全球Group2,全球集团3,全球集团4,全球集团5。
然后创建域本地组(Security),如Sub1_full、Sub1_read Sub2_full、Sub2_modify、Sub3_full、Sub4_read、Sub5_write等。
当然,将不同的用户添加到正确的组中,并将域本地组添加到ACL中,调整NTFS。
打开完整的共享权限,用NTFS锁定。
这是在Domain 2003上为目录上的不同用户授予不同权限的最佳实践吗?
回答 1
Server Fault用户
发布于 2013-05-13 13:16:56
有一些最佳实践,比如将全局组嵌套到文件服务器上的域本地组中,然后只将本地组应用于共享和NTFS权限,是的。这可以追溯到Win2000 days:团体的最佳做法
然而,就像SvW评论的那样,现在它实际上可以归结为您的环境、需求,以及您自己的it经验--“我一直是这样做的。”
例如,对于我自己,我总是做以下几件事:
共享=域管理员满员,每个人都可以读写
然后,根据适当命名的域本地组,在共享的NTFS级别锁定权限。我可能创建或不创建全局组以嵌套到域本地组中。我通常使用域本地组,因为它们可以有远程受信任的域组,这使得将来在多森林环境中更容易。
由于某些原因不得不中断继承的子文件夹也可能得到唯一的组。其他时候,我会很懒,只需将2或3个域用户直接添加到共享中。
有时,我甚至会直接在服务器上创建本地组,将域用户/组放在该服务器本地组中,并将其应用于共享。
但YMMV和其他人可能不喜欢我的做法。我的建议是创建一个易于理解、管理和交给队友或最终替代者的环境。
https://serverfault.com/questions/507248
复制相似问题
腾讯云开发者
