Windows-Server-2003

在域 Server 2003 AD 目錄上授予不同組權限的最佳實踐

  • May 13, 2013

如果您在此下有諸如 SuperiorFolder 和 Sub1、Sub2、Sub3、Sub4、Sub5 文件夾之類的文件夾。

並且您有 Group1、Group2、Group3、Group4、Group5,他們將有權訪問這些文件夾之間的不同權限。

為您找到的不同類別創建全域組(安全)是最佳實踐嗎?像全球組 1、全球組 2、全球組 3、全球組 4、全球組 5。

然後創建域本地組(安全),例如 Sub1_full、Sub1_read Sub2_full、Sub2_modify、Sub3_full、Sub4_read、Sub5_write 等。

當然,將不同的使用者添加到正確的組,並將域本地組添加到 ACL 調整 NTFS。

並以完全開放的共享權限並以 NTFS 鎖定。

這是在 Domain Server 2003 上為不同的使用者授予不同的目錄權限的最佳實踐嗎?

有一些最佳實踐,例如將全域組嵌套到文件伺服器上的域本地組中,然後僅將本地組應用於共享和 NTFS 權限,是的。這可以追溯到 Win2000 天:組的最佳實踐

然而,正如 SvW 所評論的那樣,如今這真的歸結為您的環境、需求,以及您自己的 IT 經驗,“這就是我一直這樣做的方式”。

例如,就我自己而言,我傾向於總是做以下事情:

SHARES = 域管理員已滿,每個人都可以讀/寫

然後我根據適當命名的域本地組鎖定共享的 NTFS 級別的權限。我可能會也可能不會創建全域組以嵌套到域本地組中。我通常使用域本地組,因為它們可以在其中包含遠端受信任的域組,從而使將來在多林環境中變得更容易。

出於某種原因必須中斷繼承的子文件夾也可能會獲得唯一的組。其他時候我會很懶惰,只是將 2 或 3 個域使用者直接添加到共享中。

有時我什至會直接在伺服器上創建本地組,將域使用者/組放在該伺服器本地組中並將其應用於共享。

但是 YMMV 和其他人可能不喜歡我這樣做的方式。我的建議是創造一個易於理解、管理和移交給隊友或您的最終替代者的環境。

引用自:https://serverfault.com/questions/507248