Важный момент при организации файлового сервера — обеспечить удобную для администрирования иерархию папок, чтобы удовлетворить потребности пользователей с минимумом исключений. Права должны быть достаточно жесткими, чтобы в случае запуска зловредов-шифровальщиков ущерб был минимальный.
В идеале иерархия должна обеспечивать простую реализацию сервиса самообслуживания, чтобы переложить управление правами на бизнес-папки на руководителей бизнес-пользователей.
Группы в AD
Для распределения прав доступа создаются следующие группы (названия групп произвольные):
- Все пользователи (All) — в ней все сотрудники работающие в компании.
- Уволенные (Fired) — в неё переносятся сотрудники, которые покинули компанию.
- Группы с названиями соответствующими названиям отделов:
- В эту группу входят все сотрудники отдела.
- Для группы в AD задан менеджер и ему делегировано право (галка «Менеджер может изменять членов группы») предоставления прав на добавление сотрудников в группу.
Синхронизация
Доступ к дискам
Папка «Private» (диск P:)
Для всех пользователей компании на файловом сервере создается личная папка:
- Название: латиницей ФИО.
- Доступ: полный для самого пользователя и группы администраторов домена.
- Папка монтируется на диск P:
- В случае с терминальным серверами профиль пользователя редиректится в эту папку.
Папка «Файлообмен» (Exchange)
Папка верхнего уровня для обмена файлами между любыми сотрудниками. Операции обмена через эту папку должны быть минимизированы по соображениям безопасности. Пользователь может ошибочно выложить в неё документ с конфиденциальной информацией, а получатель не успеет его оперативно забрать и удалить. Кроме того возможна фальсификация данных.
Особенности настройки:
- Доступ: на чтение/запись у всех пользователей.
- Ежедневное удаление всех данных из этой папки по scheduler. Это необходимо для обеспечения безопасности на случай, если пользователь не забрал переданный ему файл.
Папка проектов (Projects/Teams)
Папки верхнего уровня с доступом для нескольких сотрудников работающих над одной задачей (проектом):
- Название: произвольное, по запросу инициатора.
- Создание: по запросу.
- Доступ: назначается индивидуально по запросу пользователей. Запрос подтверждается владельцем папки, после чего назначаются соответствующие права.
- В папке находится файл owner.txt в котором содержится информация:
- Владелец папки (логин), ФИО, дата начала и дата окончания.
- В самой верхней строчке — последний владелец. Далее все предыдущие владельцы папок.
- Доступ на изменение файла только у группы администраторов.
- Доступ на просмотр — у всех пользователей.
Папки отделов
Название папок верхнего уровня по названию отделов. Например: IT, АДМИНИСТРАЦИЯ, КОММЕРЧЕСКИЙ ОТДЕЛ, HR и т.п.
На папке отдела даны полные права для группы в которую входят сотрудники отдела и права на чтения для всех сотрудников компании. В папках отдела следующие подпапки:
- Всем (All) — папка используется для обмена информацией с сотрудниками компании. Например, бухгалтерия предоставляет доступ к формам. Права:
- Доступ на чтение всем сотрудникам компании.
- Полный доступ только у сотрудников отдела.
- Права наследуются от родительской папки.
- Сотрудникам (secure):
- Полный доступ у сотрудников отдела.
- Другие сотрудники компании доступа к этой папке не имеют.
- Руководитель отдела прописан в файле owner.txt и может предоставить доступ своему руководству. По-умолчанию доступа вышестоящему руководству нет.
- От родительской папки права не наследуются.
- Доступ на чтение для других сотрудников компании запрещен.
- Руководство (Management) — для публикации руководством отдела информации для своих подчиненных для чтения:
- Наследование с папки снято. Убраны права на запись у группы в которую входят сотрудники отдела.
- Полные права у руководителя отдела. Он прописан в файле owner.txt.
- Права на чтение для пользователей входящих в группу отдела.