Zunächst arbeite ich für ein Unternehmen, das vor langer Zeit, als es Dateifreigaben für jede Abteilung implementierte, auch gegen die Grundregel der NTFS-Berechtigungen verstoßen und explizite Berechtigungen für Benutzer in bestimmten Ordnern verwendet hat. Um ein Beispiel für unsere Einrichtung zu geben, hat jeder Benutzer ein W: -Laufwerk. Die W: -Laufwerkshierarchie ähnelt der folgenden:
W: \ HR
W: \ Legal
W: \ Finanzen
W: \ Kommunikation
Ich bin mir ziemlich sicher, dass diese Ordner irgendwann ziemlich gut organisiert waren. Aber dann kam die komplexe Situation, in der jemand in der Rechtsabteilung Zugriff auf HR-Dokumente benötigte, jemand in der Finanzabteilung Zugriff auf Rechtsdokumente benötigte und es dann gelegentlich Fälle gab, in denen zwei verschiedene Personen aus verschiedenen Rechtsabteilungen Zugriff auf einen bestimmten Ordner im Rechtsordner benötigen. Sie möchten jedoch nicht, dass andere Benutzer Zugriff auf diesen Ordner haben. Für die damalige IT-Abteilung war es die beste Lösung, diesen Personen nur explizite Berechtigungen zu erteilen.
Seit ich vor 7 Jahren bei diesem Job angefangen habe, habe ich angedeutet, Sicherheitsgruppen für diese Instanzen zu erstellen (auch wenn es sich nur um ein Benutzerkonto handelt), da wir Benutzer beim Verlassen des Unternehmens aus allen Gruppen entfernen und sie einfügen eine Organisationseinheit für ehemalige Mitarbeiter für 5 Jahre, aber ihre expliziten Berechtigungen verbleiben in den Ordnern in der Dateifreigabe.
Wenn ich Hinweise zum Erstellen von Sicherheitsgruppen für diese Instanzen gebe, lautet das Gegenargument: "Wie werden alle leeren Gruppen verwaltet, wenn Personen das Unternehmen verlassen? Wie würden wir diese Gruppen in AD organisieren und benennen?"
Als erstes Argument schlage ich ein einfaches Powershell-Skript vor, um leere Gruppen zu löschen oder sie für zukünftige Mitarbeiter, die denselben Zugriff auf bestimmte Ordner anfordern, an Ort und Stelle zu belassen.
Das zweite Argument ist jedoch, wo ich Probleme habe, eine gute Lösung zu finden. Nach diesem kurzen Roman möchte ich einfach um Tipps oder Beispiele zum Organisieren von Sicherheitsgruppen in AD für NTFS-Berechtigungen bitten, wenn ich mit den oben aufgeführten Situationen konfrontiert bin.
Ein Gedanke, den ich hatte, war, eine Organisationseinheit nur für spezielle NTFS-Berechtigungsgruppen zu erstellen, die Gruppen nach den Ordnern zu benennen, auf die sie Zugriff gewähren, und den vollständigen Dateipfad in die Beschreibung einzufügen.
Wenn jemand bessere Ideen hat oder wenn jemand dies anders macht, bin ich offen für Vorschläge.