iT邦幫忙

0

關於Fileserver資料夾有辦法設定成擁有雙重權限的使用者才能夠存取嗎?

各位先進好:
小弟是目前遇到一個設定資料夾權限的難題,日前公司剛換新AD兼Fileserver環境是SRV2016,資料皆已轉移完畢,權限也依照原有的狀態設定好。
現行大頭目提出權限想要重新設計並且符合調整及設定方便的需求,想依現有的資料夾套用三或四階權限的方式,不知是否可行?
小弟的想法是如果某一資料夾可設定為A群+B群才可存取,那這樣可搭配既有的群組做權限設定。
ex:工程部內有01、02、03、04資料夾,1.屬工程且屬一階可存取01~04資料,2.屬工程部且屬二階可存取02~04資料,3.屬工程部且屬三階可存取03~04資料,4.04資料為跨部門用,屬四階皆可讀取。
a屬工程及一階,但a只能存取工程部01資料不可存取業務01資料,但可存取業務04資料。

因這樣分類會有很多不同部門內的人皆屬於各階權限,所以資料夾無法達到A群+B群才可存取的功能,那這個想法就破功了。
目前市售的檔案管理軟體好像也沒辦法符合這樣的需求,不知各位大大有沒有更好的建議?腦筋沒那麼好,想破頭也想不出來@@"
小弟在此先謝謝了

看更多先前的討論...收起先前的討論...
實際做法
1. 定義 總群可以進入此資料夾的所有人員,及各階人員
2. 部門資料夾給總群清單權限
3. 各個資料夾給各個群組相對應的權限例如 工程一階在所有的資料夾都要給權限﹑記得要取消繼承,並改變子資料夾權限
大略就這樣,不建議用下面一樓說的群組包群組,寧願在權限清單多下幾個群組,也不要造成日後追查的麻煩
因為照他說的,你還是要定義數個群組,然後群組包群組的意義不大
實際做法
1. 定義 總群可以進入此資料夾的所有人員,及各階人員
2. 部門資料夾給總群清單權限
3. 各個資料夾給各個群組相對應的權限例如 工程一階在所有的資料夾都要給權限﹑記得要取消繼承,並改變子資料夾權限
大略就這樣,不建議用下面一樓說的群組包群組,寧願在權限清單多下幾個群組,也不要造成日後追查的麻煩
因為照他說的,你還是要定義數個群組,然後群組包群組的意義不大
froce iT邦新手 3 級 ‧ 2017-10-11 11:21:05 檢舉
因為沒實際做過,想請問一下實際上追查,群組包群組的作法,會遇到什麼問題?
因為依你的作法,在初始設定上會比較麻煩,03的資料夾要把01、02、03的權限都加進去。
權限清單本來就會有紙本的追查紀錄,要換群組的話只要對照紙本,將使用者變更群組就行了,這作法應該都沒有差別。
CalvinKuo iT邦大師 7 級 ‧ 2017-10-11 11:41:22 檢舉
建議按資料夾(資源)分群組,01-04(例如:專案名稱),這樣分配簡單明瞭。
放心,到時還有的分....
像我們公司工程採購與品管都要用到圖面,也要管制權限,沒法放到部門共用區去...
shock555 iT邦新手 5 級 ‧ 2017-10-11 13:59:38 檢舉
to 窮嘶大~其實我原本的想法也是在各部門下再分類專屬部門的階層群組,但第一次報告馬上就被打槍了,大頭目說他看不懂而且因為一個部門分四階,10個部門就分40群組,都快跟USER一樣多了,這樣的設計比較嚴謹,也不會有跨部門空降存取的問題(\\路徑名),只是設定上會比較複雜,所以他想簡化。

to force大~群包群的想法我是沒試過,比較擔心是會有用\\路徑名造成的空降存取問題,雖然USER沒那麼聰明,但我還是怕有人會出怪手,還是我想太多XD。
0
froce
iT邦新手 3 級 ‧ 2017-10-11 10:27:33

我沒辦法實際實驗,不過你所提的應該可以實現:
key idea:群組成員可以包含群組。

把有01、02、03、04的人依權限都建群組。
然後把01的群組加入02的群組,02的群組加入03的群組,03的群組加入04的群組。
這樣理論上你01的群組只有01的人、02的群組會有02權限所有的人+01群組內的人...以此類推。

0
souda
iT邦研究生 5 級 ‧ 2017-10-11 13:12:44

簡單來說~~除非你工程部的群組能再細分才行 工程部(A)==>工程部(a)工程部(b)工程部(c)

shock555 iT邦新手 5 級 ‧ 2017-10-11 13:53:49 檢舉

原先想法也是如此,但如果有10個部門再細分就會產生出40個群組已經快跟USER一樣多,馬上就被打槍了,大頭目就說那我直接加人不就好了?要群組做啥= ="

CalvinKuo iT邦大師 7 級 ‧ 2017-10-11 17:18:21 檢舉

群組設ACL好處是套用時間很短...
設在使用者上(新增刪除),若是10萬個檔案資料夾會套用多久,還有帳號刪除會變SID。
缺點就是,群組加使用者後,必須重新登入才會套用群組。

0
蟹老闆
iT邦大師 1 級 ‧ 2017-10-11 13:23:40

(誤解了,此回答不正確,保留給有需要的人參考)
如果可以用權限區別來管理,應用權限管理方式,若不行再用非常規來做,非常規通常只有做這件事的人知道。

可以修改hosts檔,將IP指定到要連線的主機,一個主機設定多個名稱,再依不同權限連線至不同的主機名稱

若有很多台有相同情形,做成批次檔

echo 00.00.00.00        PcName0>>%windir%\system32\ect\hosts
echo 00.00.00.00        PcName1>>%windir%\system32\ect\hosts
echo 00.00.00.00        PcName2>>%windir%\system32\ect\hosts

將IP設為同一個,名稱設為不同,連線時,依不同權限(不同的帳密)連至不同名稱的主機(實際上是同一台)。

0
msnman
iT邦研究生 3 級 ‧ 2017-10-11 17:25:24

如果有AD網域是最好的。
第一是所有人都屬 users
第二是工程屬 eng1 eng2 eng3
業務屬 sale1 sale2 sale3
均屬 users

在工程部資料夾設定user均可存取 共用設定users所有權限,但安全性設定只勾選"列出資料夾內容"
底下04在安全性加入 users 完全控制或自訂所需權限
03 eng3 安全性設定 完全控制或自訂所需權限
02 eng2 安全性設定 完全控制或自訂所需權限
01 eng1 安全性設定 完全控制或自訂所需權限

shock555 iT邦新手 5 級 ‧ 2017-10-11 17:52:50 檢舉

to msnman大~小弟目前所使用的環境有架AD,端點PC皆加入AD,理論上來說,照您提供的方式(也是小弟原本想用的方式)應該是比較嚴謹的作業模式,只是初始設定較繁瑣且設定時間冗長,而且所有目錄的權限規劃都須先規劃好,看來我還是需要跟大頭目Talk看看能否接受此種作業模式= ="謝謝大大的提供,受小弟一拜

msnman iT邦研究生 3 級 ‧ 2017-10-12 11:09:02 檢舉

初期規畫一定是比較費時費力的,無論那一種做法都一樣。
重點是後面維護是否符合簡易快速。
這個規畫在後面新進人員只要確立是eng1+users群組就OK了。
在往後維護上較為簡易方便,也不需要重設權限。

我要發表回答

立即登入回答