Windows 網路共享組織
我想就您用於發佈網路共享的最佳實踐提供一些回饋。
現在,我們的文件伺服器上有:
- 每個使用者都有一個命名目錄,每天備份
- 每個服務都有一個命名目錄,也每天備份
為了輕鬆發布這些共享,我們使用了一個腳本,該腳本在打開 Windows 會話時執行,並將一個字母映射到該共享,這裡是:
Net use * /delete /yes NET USE P: \\SRVFILES01\MyName /PERSISTENT:NO NET USE S: \\SRVFILES01\MyService /PERSISTENT:NO這樣做的問題是:
- 我們的筆記型電腦使用者可以在不連接網路的情況下登錄,所以當他們連接到網路時,他們沒有網路共享
- 如果伺服器出現故障,我們的使用者需要重新打開他們的 Windows 會話以獲取他們的網路共享
您如何在您的組織中進行管理?不要猶豫,分享您的技術解決方案和組織!
非常感謝,
我們使用多種方法的組合。
應用程序儲存:與 Safado 一樣,我們使用 AD 組策略來映射驅動器,儘管我們通常僅將其用於特定的應用程序儲存。如果使用者是 AD 中特定安全組的成員,則應用組策略並映射驅動器。安全過濾用於確保特定組策略僅適用於特定安全組的成員,即使組策略本身在域級別連結也是如此。這就是我們繞過 OU 結構的約束的方法,不一定與需要映射驅動器的人匹配。當然,共享本身使用了相應的自由訪問控制列表 (DACL),以確保只有組的成員具有訪問權限。
使用者文件:在 DC 上創建單個共享,並授予所有經過身份驗證的使用者對該共享的只讀訪問權限。在共享內部創建一個與每個人的使用者名同名的文件夾,並且使用者帳戶是對該文件夾的唯一訪問(讀取、寫入、執行)的權限。 為共享打開了基於訪問的列舉,因此其他使用者無法查看其他使用者的文件夾,無論是否允許對主共享文件夾進行讀取訪問。AD 中的使用者配置文件部分包含允許單個映射驅動器的設置,我們僅將其用於使用者文件。%username% 宏可以在這些框中使用,並且正如宏所暗示的那樣,它會在登錄時被實際使用者名替換,從而生成具有特定於該使用者的內容的映射驅動器。
容錯:如果映射的驅動器需要更高的容錯能力並處理一個(或多個)DC 的失去或斷開連接,您可以使用 DFSR(分佈式文件系統複製)。例如,可以在三個 DC 上創建 DFS 命名空間,並且可以在組策略或 AD 使用者配置文件中使用 DFS 命名空間 UNC 路徑。這將導致即使 DC 出現故障也可以訪問文件的設置,此外,如果您在屬於 DFS 命名空間成員的其他地理位置有 DC,則將允許系統像 CDN 一樣工作。
就像 Safado 所說,如果無法連接,共享將顯示為紅色 X,只要在伺服器線上後點兩下共享將允許訪問。
注意:由於聲譽低於 10,我無法發布指向 DFSR 的 MS 頁面的連結 :-(
編輯:將大量 GPO 對象連結到域級別的頂部並不是一個好主意。深思熟慮的 OU 結構可能允許您將驅動器映射 GPO 對象連結到僅包含需要掛載共享的使用者的 OU。在這種情況下,無需使用安全過濾的細微差別,因為您的 OU 的繼承結構已經處理了這個問題。當然,情況並非總是如此……例如,在處理管理不善的客戶 AD 域時:P。