Где а какую группу лучше создавать!
 

Здравствуйте!
Имеется Server 2008. Дочерний домен. Пользователей не много - 40. Отделов 8. Структуру делал такую. Создал в Active Directory - пользователи и компьютеры свой OU-c названием фирмы. Затем вложенные OU с названием отделов. Внутри каждого OU с названием отделов уже сами учетки. Групп никаких не создавал из-за ненадобности. Теперь же решил создать каждому отделу на серваке папку с индивидуальными правами, ну т.е каждый отдел может зайти на свою папку и только на свою и там иметь права чтение+запись. Задача не сложная. Но думается мне что правильней все же не назначать права на папку каждому пользователю индивидуально, а сделать 8 групп(по количеству отделов). Так вот вопрос где их лучше создавать, всмысле где на практике создаются группы в каком OU. Какую область действия выбирать? (почитал книжку думается наверное что локальная в домене) Тип группы - группа безопасности или распространения (логичнее безопасности как понимаю). Надеюсь вопрос задал корретно. Заранее спс.

По-моему, ОУ будет вполне достаточно, просто нужно оптимально распределить юзеров по потребностям, а не по отделам (то есть, например, бухгалтеров в один ОУ определить, менеджеров - в другой). На мой взгляд, так проще будет применить скрипты и групповые политики.
ИМХО, не надо этого всего. Лишняя морока, а результат почти такой же, как с грамотно организованными ОУ.

читайте еще больше и внимательней про AGDLP - рекомендации m$
сразу найдете ответы на свои вопросы

В каком OU будут создаваться группы особой разницы нет - создавайте в OU своей организации :)

Если перспектив для роста сети (добавление новых доменов и лесов) не будет, то проще создавать глобальные группы безопасности (группа распространения не может использоваться для управления доступом).

В целях интуитивно понятного управления правами и группами, имеет смысл создавать группы не по принципу отделов, а по принципу объединения полномочий. Например, назовите группу "Доступ к документам бухгалтерии" - туда включите всех бухгалтеров и руководителей.

PS:Распределение пользователей и компьютеров по OU имеет смысл либо для применения к ним различных политик, либо в неадминистративных целях "разложить по папкам" (чтобы лучше видеть).

PS2: если задумаете разрешить пользователям шифровать файлы на сетевом сервере, то его нужно отметить (свойство объекта компьютера в AD) разрешенным для делегирования, а заодно имеет смысл через доменную политику установить всем компьютерам сертификат агента восстановления EFS (генерируется программой cipher.exe)

Спасибо за ответы. Только вот собственно как тогда грамотнее решить мою не сложную задачут.е получается лучше и проще прописать на каждую папку в безопасности каждого человека раз групп нет(их не так много конечно). В безопасности к папке мы же не можем применить только к какой-то конкретной OU наколько я знаю.
По другим критериям нет необходимости делить на группы у всех права одинаковые и это всех устраивает.

Если нужно дать доступ к папке больше 3 человек- создавайте группу.