ฉันมีโฟลเดอร์ที่ใช้ร่วมกันของ Windows ที่มีลำดับชั้นสองระดับ สิทธิ์ได้รับการจัดการโดยกลุ่มความปลอดภัย สิทธิ์ที่น่าสนใจถูกตั้งค่าในระดับที่สอง โฟลเดอร์ระดับแรกควรมองเห็นได้ก็ต่อเมื่อผู้ใช้มองเห็นการเข้าถึงโฟลเดอร์ระดับที่สองเท่านั้น ฉันต้องการลดความซับซ้อนในการจัดการระดับแรกด้วยการอนุญาต "การสืบทอดแบบย้อนกลับ" นอกจากนี้ ไม่มีใครคาดหวังว่าผู้ดูแลระบบจะสามารถทำการเปลี่ยนแปลงใด ๆ ในระดับแรกรวมถึงโฟลเดอร์ระดับที่สอง

การตั้งค่า

Windows Server 2008 R2 ในโดเมน

ลำดับชั้น:

  • โครงการ A (group-a-all อ่านในไดเร็กทอรีเท่านั้น)
    • ทีม A1 (group-a1 ได้รับอนุญาตเต็มรูปแบบ)
      • ไฟล์
    • ทีม A2 (group-a2 ได้รับอนุญาตเต็มรูปแบบ)
      • ไฟล์
  • โครงการ B (group-b-all, อ่านในไดเร็กทอรีเท่านั้น)
    • ทีม B1 (group-b1 ได้รับอนุญาตเต็มรูปแบบ)
      • ไฟล์
    • ทีม A2 (group-a2 ได้รับอนุญาตเต็มรูปแบบ)
      • ไฟล์
  • [ผู้ให้บริการ (กลุ่ม-a1)]

กลุ่ม group-a1 และ group-a2 เป็นสมาชิกของกลุ่ม group-a-all ผู้ใช้ที่เข้าถึงเป็นสมาชิกของกลุ่ม-a1 เช่น เพื่อป้องกันการเปลี่ยนแปลงหรือการลบในระดับที่สอง ฉันได้กำหนดไว้เพิ่มเติมว่า group-a1 ไม่สามารถเปลี่ยนแปลงหรือลบในโฟลเดอร์เฉพาะได้

ผลกระทบ

ผู้ใช้เป็นสมาชิกของกลุ่ม-a1 เธอเห็นโฟลเดอร์โครงการ A แต่ไม่ใช่ทีม A1 จนกว่าฉันจะสร้างโฟลเดอร์ Fixer ที่มีสิทธิ์ซึ่งมี group-a1 ใช้งานได้แม้ว่าการอนุญาตจะอยู่นอกทีออฟโปรเจ็กต์ A ดังนั้นดูเหมือนว่าการอนุญาตระดับที่สองจะทำงานก็ต่อเมื่อสิทธิ์เหล่านี้ (AD Security Groups) ถูกใช้ในระดับแรกเท่านั้น

ทำไมถึงเป็นเช่นนี้? มีวิธีที่ดีกว่าในการจัดการสถานการณ์นี้หรือไม่?

answer

อาจจะ:

ลำดับชั้น:

    Team A1 (group-a1, full permission)
        Files

โครงการ A (group-a-all, อ่านบนไดเร็กทอรีเท่านั้น) โฟลเดอร์ที่ใช้ร่วมกัน ทีม A2 (group-a2, สิทธิ์แบบเต็ม) ไฟล์

    Team B1 (group-b1, full permission)
        Files

โครงการ B (group-b-all, อ่านบนไดเร็กทอรีเท่านั้น) แชร์โฟลเดอร์ Team A2 (group-a2, สิทธิ์แบบเต็ม) ไฟล์ [ผู้ให้บริการ (group-a1)]

ดังนั้น Team A1 จะแชร์ไฟล์ทั้งหมดหากอยู่ในทีมนั้น (กลุ่ม) และแชร์โฟลเดอร์ Project A แต่มีสิทธิ์อ่านเท่านั้น

มิฉะนั้น หากคุณมีโฟลเดอร์ย่อยภายใต้โครงการ A ที่มี 2 กลุ่ม การจัดการอีกเล็กน้อย