J3qx

information archive

Инструкция по предоставлению прав в DFS

Posted by j3qx на Февраль 10, 2017

Логическое описание

  1. 6911 проводит согласование/уведомление
  2. 6911 заходит в OU с группами и проверяет, есть ли готовая группа с нужными правами. Если есть — выдает
  3. Если групп нет, 6911 переводит заявку на L2 IT App
  4. L2 IT App – если заявка касается Казахстана, Быкова (в ближайшей перспективе) назначает на соответствующих админов.
  5. L2 IT App – создает группы, если заявка касается Москвы

Алгоритм выдачи прав доступа:

6911

  • Выяснить куда именно нужен доступ (должно быть в заявке)
  • Выяснить пользователей, которым нужен доступ (должно быть в заявке)
  • Выяснить уровень доступа (должно быть в заявке)
  • Посмотреть в ADUC есть ли готовая группа, предоставляющая нужный уровень доступа – отсортировать по desctiption
  • Если нет, то перенести заявку в L2 IT Applications для создания группы, назначения ей нужного доступа в нужной папке

Sysadmins regions

  • Если нет, то выяснить, можно ли обойтись существующими группами доступа
  • Если включить можно, то включить нужных пользователей в соответствующую группу
  • Если нельзя, создать группу согласно описанию ниже

Sysadmins L2 IT App

  • Если нет группы, то выяснить, можно ли обойтись существующими группами доступа
  • Если включить можно, то включить нужных пользователей в соответствующую группу
  • Если нельзя, создать группу согласно описанию ниже

Общие положения

Региональные администраторы, наделенные соответствующими полномочиями, могут посмотреть или изменить существующие права, назначенные на папку (или файл), нажав правой кнопкой на нужную папку (или файл) и выбрал пункт меню Properties (свойства), затем выбрав вкладку Security (Безопасность). На данной вкладке представлены все группы и пользователи, которые имеют права доступа в эту папку. При выборе той или иной группы в нижней части окна отображаются права доступа, назначенные выбранной группе.

 

Расположение и описание групп доступа:

  • Группы доступа ко всем файловым ресурсам имеют префикс g_dfs_
  • Группы расположены в OU=office.example.ru/Groups/DFS и OU=office.example.ru/Offices/KZ.ALM/Groups (только файловые ресурсы Казахстана)

Просмотреть список существующих групп и добавить в них новых пользователей можно в оснастке ADUC (Active Directory Users and Computers). Для этого необходимо запустить оснастку, выбрать нужную организационную единицу (OU), отсортировать список групп по полю Description (Описание) и найти нужную папку.

 

  • Если папка опубликована в DFS, путь начинается с буквы диска, под которой подключается политиками данный ресурс: «Z:», «Y:»
  • Если папка опубликована на отдельном сервере, путь начинается с «\\<имя_сервера>».
  • В редких случаях, когда данной группе назначается нетривиальный доступ, Description после пути к папке может содержать более подробное описание доступа (например, Modify no new files и т.п.).

В имени группы лаконично зашифрованы путь к папке и уровень доступа.

Поле Описание (Description) должно содержать полный путь к папке, к которой данная группа предоставляет доступ.

Принятые сокращения уровней доступа:

LST         — Listing (получение списка папок и файлов, без права их открывать)

RO          — Read-Only (только чтение)

RW         — Read-Write (чтение и запись)

RWD      — Read-Write-Delete (отличается от RW возможностью удалять подкаталоги)

RW_WD — Read-Write without Delete (отличается от RW отсутствием прав удалять файлы)

FC           — Full Control (полный доступ с возможностью назначать права)

Примеры:

папка Z:\Departments\ForALL\Internal Communications

доступ Read-Write

группа G_DFS_Deps_Internal_Communications_RW

описание Z:\Departments\ForALL\Internal Communications

папка \\pd-srv-07v\1c_dev_storage

доступ Read-Only

группа G_DFS_PD-SRV-07v_1C_dev_storage_RO

описание \\pd-srv-07v\1c_dev_storage

папка Z:\Departments\CRM-CS\Moscow CC\02. CRM-CS All Staff\Client Refunds\

доступ Full-Control

группа G_DFS_Client_Refund_FC

описание Z:\Departments\CRM-CS\Moscow CC\02. CRM-CS All Staff\Client Refunds

Основные принципы назначения прав доступа:

  • При создании нового файлового ресурса создается стандартная пара групп доступа: RO и RW.
  • Как правило, достаточно оперировать только правами RO и RW. Остальные права назначаются только по действительной необходимости отойти от стандартных прав доступа.
  • Следует выдавать минимально необходимые права, избегать выдачи лишних прав «на всякий случай», «про запас».
  • Если запрашиваемые права не указаны явно, следует выдавать права на чтение.
  • Следует всегда избегать назначения прав доступа к конкретным файлам, доступ должен всегда назначаться к каталогу.
  • Следует всегда избегать назначения прав доступа конкретным пользователям, доступ всегда должен назначаться только группе. Даже если необходимо назначить права к папке одному единственному пользователю, необходимо создать соответствующую группу, включить в нее нужного пользователя, и назначить права доступа данной группе.
  • Для того, чтобы вновь выданные права начали действовать, необходимо после включения пользователя в нужную группу подождать 20 минут (чтобы изменения реплицировались по всем контроллерам домена) и после этого выполнить данному пользователю Log Off — Log On (или перезагрузиться).
  • По умолчанию права, выданные на папку, наследуются вглубь на все вложенные подпапки и файлы. В некоторых папках данные наследования прерваны, для более узкого ограничения прав на вложенные каталоги.
  • Если пользователю необходим доступ на какой-то вложенный каталог, то он должен иметь доступ и ко всем родительским каталогам верхнего уровня, чтобы суметь добраться до нужного ему. Для этого используются группы листинга (*_LST). Самого пользователя не следует включать в группы листинга, в них должны быть включены группы, дающие права доступа ко вложенным ресурсам.
  • Если пользователь запрашивает права доступа в глубоко вложенную папку и нет готовой группы доступа к ней, но есть готовая группа, дающая необходимый доступ к папке более высокого уровня (включая вложенную, нужную нам) – имеет смысл обсудить с владельцем папки и руководителем пользователя возможность выдать ему расширенные права с помощью готовой группы, чтобы не плодить дополнительные группы доступа.

Пример:

В папке Documents лежат папки Instructions, Manuals, Templates, и пользователь просит доступ на чтение к папке Manuals. Готовой группы на чтение именно в Manuals нет, зато уже есть группа на чтение ко всей папке Documents. Зачастую нет ничего страшного, если пользователь будет иметь права чтения не только к нужное ему папке, но и соседним Instructions и Templates. Тогда, по согласованию с владельцем папки Documents и руководителем пользователя, можно дать ему права на чтение всей папки Documents, не создавая отдельной группы на чтение только Manuals. Сообщать самому пользователю о расширенных правах не нужно.

 

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: