|
|
|
|
| Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - Странное наследование групп в Active Directory |
|
|
2008 R2 - Странное наследование групп в Active Directory
|
|
Забанен Сообщения: 5 |
Доброе утро! Не могу найти информации о вложенности групп в AD. Есть следующая задача: Есть в компании отделы и необходимо создать группы под каждый отдел и построить как бы дерево групп, к примеру:
Коммерческий департамент в него должна входить группа Директор, далее группа Управление отдела продаж входит в коммерческий департамент, в нее входит группа старший менеджер, далее группа отдел продаж входит в управление отдела продаж и т.д., и в конечном итоге имеется должность Менеджер оптовых продаж, и допустим я добавляю в нее пользователя и для теста создал папки с доступом разрешения для каждой созданной группы, для проверки вложенности групп. В итоге этот менеджер имеет доступ ко всем папкам, а коммерческий департамент наоборот, только к своей. Почему то при применении таких вложений, дает доступ и запрещает как должен Коммерческий департамент > управление отдела продаж > отдел продаж > отдел оптовых продаж > менеджер продаж > - Означает, что я добавляю слева стоящую группу в правую, т.е. делаю по логике все наоборот. А если делать по логике нормально, т.е. добавлять менеджера продаж в отдел оптовых продаж, оптовые продажи в отдел продаж, отдел продаж в управление и т.д., то при назначении группы менеджера продаж пользователю, он имеет доступ ко всем папкам, а если в коммерческий департамент, то имеет доступ только к ней. |
|
|
Отправлено: 09:34, 16-11-2016 |
|
Пользователь Сообщения: 101
|
Профиль | Отправить PM | Цитировать По логике, как раз таки правильно и будет двигаться справа на лево. Придерживайтесь такого принципа:
1) Создайте группы доступа "глобальные в домене" - это будут ролевые группы, в них вы будете добавлять пользователей. Например: "Директоры по продажам", "Старшие менеджеры отдела продаж"... 2) Создайте группы "Локальные в домене" - это будут группы доступа к ресурсам (папкам, принтерам, на прокси серверах...) Например: имеем папку на сервере "Отдел продаж" - снимаем с нее наследование, вешаем на нее группы вида: Access - FileSrv_Отдел продаж_RO, Access - FileSrv_Отдел продаж_RW (read only, read write). Этим группам назначаем соответствуещее названию NTFS разрешения. 3) Если нужно дать доступ директорам по продажам, достаточно ролевую группу "Директора по продажам" добавить в группу Access - FileSrv_Отдел продаж_RO, тогда они получат доступ только на чтение на этой папке Как правило механизм будет таким, так или иначе: ролевые группы вкладываете в группы доступа, группы доступа вешаете на ресурс. |
|
Отправлено: 10:20, 16-11-2016 | #2 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Active Directory | Kilimnik Pasha | Microsoft Windows NT/2000/2003 | 1 | 17-02-2012 17:46 | |
| Active Directory | Rustem | Microsoft Windows NT/2000/2003 | 7 | 04-06-2010 12:22 | |
| [решено] active directory, команда dsmod ... ошибка directory object not found | big_foot | Microsoft Windows NT/2000/2003 | 2 | 18-06-2008 17:48 | |
| Active Directory | Igrr | Хочу все знать | 4 | 08-08-2005 09:30 | |
|
|
Время: 16:49. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
