Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Странное наследование групп в Active Directory (http://forum.oszone.net/showthread.php?t=320840)

Anton_Zhukov 16-11-2016 09:34 2687965
Странное наследование групп в Active Directory
 
Доброе утро! Не могу найти информации о вложенности групп в AD. Есть следующая задача: Есть в компании отделы и необходимо создать группы под каждый отдел и построить как бы дерево групп, к примеру:
Коммерческий департамент в него должна входить группа Директор, далее группа Управление отдела продаж входит в коммерческий департамент, в нее входит группа старший менеджер, далее группа отдел продаж входит в управление отдела продаж и т.д., и в конечном итоге имеется должность Менеджер оптовых продаж, и допустим я добавляю в нее пользователя и для теста создал папки с доступом разрешения для каждой созданной группы, для проверки вложенности групп. В итоге этот менеджер имеет доступ ко всем папкам, а коммерческий департамент наоборот, только к своей.

Почему то при применении таких вложений, дает доступ и запрещает как должен
Коммерческий департамент > управление отдела продаж > отдел продаж > отдел оптовых продаж > менеджер продаж

> - Означает, что я добавляю слева стоящую группу в правую, т.е. делаю по логике все наоборот. А если делать по логике нормально, т.е. добавлять менеджера продаж в отдел оптовых продаж, оптовые продажи в отдел продаж, отдел продаж в управление и т.д., то при назначении группы менеджера продаж пользователю, он имеет доступ ко всем папкам, а если в коммерческий департамент, то имеет доступ только к ней.

Trouble_Maker 16-11-2016 10:20 2687976
По логике, как раз таки правильно и будет двигаться справа на лево. Придерживайтесь такого принципа:
1) Создайте группы доступа "глобальные в домене" - это будут ролевые группы, в них вы будете добавлять пользователей. Например: "Директоры по продажам", "Старшие менеджеры отдела продаж"...
2) Создайте группы "Локальные в домене" - это будут группы доступа к ресурсам (папкам, принтерам, на прокси серверах...)
Например: имеем папку на сервере "Отдел продаж" - снимаем с нее наследование, вешаем на нее группы вида:
Access - FileSrv_Отдел продаж_RO, Access - FileSrv_Отдел продаж_RW (read only, read write). Этим группам назначаем соответствуещее названию NTFS разрешения.
3) Если нужно дать доступ директорам по продажам, достаточно ролевую группу "Директора по продажам" добавить в группу Access - FileSrv_Отдел продаж_RO, тогда они получат доступ только на чтение на этой папке

Как правило механизм будет таким, так или иначе: ролевые группы вкладываете в группы доступа, группы доступа вешаете на ресурс.


Время: 17:45.

Время: 17:45.
© OSzone.net 2001-