Организация папок и прав на файловом сервере

Важный момент при организации файлового сервера — обеспечить удобную для администрирования иерархию папок, чтобы удовлетворить потребности пользователей с минимумом исключений. Права должны быть достаточно жесткими, чтобы в случае запуска зловредов-шифровальщиков ущерб был минимальный.

В идеале иерархия должна обеспечивать простую реализацию сервиса самообслуживания, чтобы переложить управление правами на бизнес-папки на руководителей бизнес-пользователей.

Группы в AD

Для распределения прав доступа создаются следующие группы (названия групп произвольные):

  • Все пользователи (All) — в ней все сотрудники работающие в компании.
  • Уволенные (Fired) — в неё переносятся сотрудники, которые покинули компанию.
  • Группы с названиями соответствующими названиям отделов:
    • В эту группу входят все сотрудники отдела.
    • Для группы в AD задан менеджер и ему делегировано право (галка «Менеджер может изменять членов группы») предоставления прав на добавление сотрудников в группу.

Синхронизация

Доступ к дискам

Папка «Private» (диск P:)

Для всех пользователей компании на файловом сервере создается личная папка:

  • Название: латиницей ФИО.
  • Доступ: полный для самого пользователя и группы администраторов домена.
  • Папка монтируется на диск P:
  • В случае с терминальным серверами профиль пользователя редиректится в эту папку.

Папка «Файлообмен» (Exchange)

Папка верхнего уровня для обмена файлами между любыми сотрудниками. Операции обмена через эту папку должны быть минимизированы по соображениям безопасности. Пользователь может ошибочно выложить в неё документ с конфиденциальной информацией, а получатель не успеет его оперативно забрать и удалить. Кроме того возможна фальсификация данных.

Особенности настройки:

  • Доступ: на чтение/запись у всех пользователей.
  • Ежедневное удаление всех данных из этой папки по scheduler. Это необходимо для обеспечения безопасности на случай, если пользователь не забрал переданный ему файл.

Папка проектов (Projects/Teams)

Папки верхнего уровня с доступом для нескольких сотрудников работающих над одной задачей (проектом):

  • Название: произвольное, по запросу инициатора.
  • Создание: по запросу.
  • Доступ: назначается индивидуально по запросу пользователей. Запрос подтверждается владельцем папки, после чего назначаются соответствующие права.
  • В папке находится файл owner.txt в котором содержится информация:
    • Владелец папки (логин), ФИО, дата начала и дата окончания.
    • В самой верхней строчке — последний владелец. Далее все предыдущие владельцы папок.
    • Доступ на изменение файла только у группы администраторов.
    • Доступ на просмотр — у всех пользователей.

Папки отделов

Название папок верхнего уровня по названию отделов. Например: IT, АДМИНИСТРАЦИЯ, КОММЕРЧЕСКИЙ ОТДЕЛ, HR и т.п.

На папке отдела даны полные права для группы в которую входят сотрудники отдела и права на чтения для всех сотрудников компании. В папках отдела следующие подпапки:

  • Всем (All) — папка используется для обмена информацией с сотрудниками компании. Например, бухгалтерия предоставляет доступ к формам. Права:
    • Доступ на чтение всем сотрудникам компании.
    • Полный доступ только у сотрудников отдела.
    • Права наследуются от родительской папки.
  • Сотрудникам (secure):
    • Полный доступ у сотрудников отдела.
    • Другие сотрудники компании доступа к этой папке не имеют.
    • Руководитель отдела прописан в файле owner.txt и может предоставить доступ своему руководству. По-умолчанию доступа вышестоящему руководству нет.
    • От родительской папки права не наследуются.
    • Доступ на чтение для других сотрудников компании запрещен.
  • Руководство (Management) — для публикации руководством отдела информации для своих подчиненных для чтения:
    • Наследование с папки снято. Убраны права на запись у группы в которую входят сотрудники отдела.
    • Полные права у руководителя отдела. Он прописан в файле owner.txt.
    • Права на чтение для пользователей входящих в группу отдела.
Spread the love
Запись опубликована в рубрике IT рецепты, IT решения для бизнеса. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *