07.12.2011

Группы в Active Directory. Чтобы не забыть

В AD существует несколько типов групп. По рекомендациям от МС и вообще "православно" следующее распределение:
Пользователи по какому-либо признаку (географическому, бизнес-подразделения) группируются в глобальные группы.
По правам доступа создаются локальные доменные группы.

Пример:
В компании существует отдел Бухгалтерия. Всем пользователям этого отдела требуется доступ на запись к сетевому ресурсу "Бухгалтерские документы" и доступ на печать к принтеру, находящемуся в их офисе.

1. Создаём глобальную группу Бухгалтерия, членами которой будут являться сотрудники бухгалтерии.
2. Создаём локальную доменную группу ACL_Buhgalteria_Share_RW. Даём этой группе разрешения на чтение/запись в сетевой ресурс.
3. Создаём локальную группу домена ACL_Buhgalteria_Printer. Этой группе даём доступ на печать на нужном принтере.
4. Делаем членом двух последних групп группу Бухгалтерия.

Теперь у глобальной группы Бухгалтерия будет доступ к принтеру и сетевой папке. Если нужно дать доступ к этим ресурсам ещё кому-либо, нужно всего лишь добавить нужную группу/пользователя в одну из групп ACL.

Комментариев нет:

Отправить комментарий