Разыскивается внятная, желательно недлинная и несложная статья о преимуществах использования общепринятой стратегии организации доступа к шаренным ресурсам Acoount->Global group->Domain Local group <-Permission. Суть проблемы в том, что я не могу обосновать непосредственному начальнику, почему это правильно. Была бы его воля, он оставил бы один, максимум - два шаренных ресурса, а дальше - назначал бы конкретным пользователям (даже не группам) права на вложенные папки в явном виде, блокируя наследование разрешений. В общем-то, так сейчас и есть. Я, мягко говоря, был поражен, когда переносил папку "Бухгалтерия" со старого сервера на новый. Там внутри большое количество вложенных папок, и почти у каждой свои ACL, состоящие из пользователей с разным уровнем доступа. Там и "личные" папки, к которым имеет доступ только один пользователь, и папки, к которым есть доступ у двух-трех пользователей... Бред. При этом, скриптами пользователям подключаются сетевые диски - на одну букву диска папка "Общая", на другую - вложенная папка из этого же ресурса...
Я предложил создать нормальную структуру, где будет папка "Общая" с правами, точнее разрешениями Change для Domain Users, папки отделов, в т.ч. Бухгалтерия и пр. Также можно прицепить пользователям домашние папки, чтобы хранили рабочие документы на RAID-е сервера и настроить для них бэкап.
В ответ я услышал нежелание делать десятки шар. Какие тут десятки????
Да, будут большие сложности с тем, чтобы переучить бухгалтерию, да и подавляющее большинство пользователей к новым буквам дисков, структуре папок и пр. Некоторые из пользователей на полном серьезе и с недовольным видом убеждали меня, что еще неделю назад (т.е. до ввода в эксплуатацию нового сервера) у них в 1С при нажатии пункта меню "Сохранить как..." открывалась не папка "Мои Документы", а папка на общем сетевом диске.
Еще сложность в том, что мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". Поэтому издавна и идет такой бардак.
Моя же проблема в том, что я не могу рассказывать, доказывать и убеждать. Ну не мое это. Да, я могу более-менее нормально написать текст, но вести дискуссию и убеждать - увольте.
Поэтому и прошу ссыль на какую-нибудь статью про организацию структуры папок на предприятии, желательно с картинками и примерами...
ps Смену работы не предлагайте.
pps В качестве аргумента приводил то, что длина списков ACL при "поштучном" добавлении пользователей не лучшим образом влияет на производительность сервера. Не помогло. Дескать, у нас мало пользователей, для сервера это не создаст значительной нагрузки. Мне тут возразить нечего. Я даже не знаю, как замерить или оценить влияние количества ACE на производительность сервера...

мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". »но ведь он прав же!
переучить бухгалтерию, да и подавляющее большинство пользователей к новым буквам дисков, »ситуация, когда "проще новых нарожать, чем этих отмыть"
Обучение кондовых пользователей - очень сложный процесс, и без железобетонного желания руководства его бессмысленно затевать, утонет в болоте.

но ведь он прав же! »
Удобно админу - удобно пользователю. Если начальник плюёт на своих подчинённых и игнорирует их рацпредложения, то хреновый это начальник.

Прежде всего нужно внимательно изучить структуру прав. У Sysinternals есть отличная программа AccessEnum (http://technet.microsoft.com/en-us/sysinternals/bb897332), с помощью которой можно составить список.

А удобства от AGDLP такие:
1) быстрота предоставления прав - нужно добавить пользователя только в группу в AD, и всё.
2) Снижение нагрузки на файловый сервер - ему не придётся каждый раз прописывать права для всех файлов в папке для нового пользователя.
3) Наглядность - глядя в AD, можно сразу сказать, кто на что имеет права.

Минусы:
1) Нужно создавать в AD кучу групп (но это только на первом этапе).
2) Пользователь получает права на новый ресурс только после перезахода в систему.

Пользователей обучать нужно, но только поставив их в условия, при которых они от обучения никуда не денутся. А это делается через выпуск регламентов и приказов, т. е., через административные рычаги. Но перед этим нужно подготовиться - наладить сервис и написать понятные инструкции с картинками.

По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP.

Если начальнику будет пофигу - не спорьте с ним, а положите все ваши расчёты в укромное место. Это хороший опыт, и на следующем собеседовании будет что показать. И, конечно, продолжайте думать над улучшением инфраструктуры и кладите это в свою копилку.

Цитата AsvComp:
мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". »
но ведь он прав же! »
Согласен, но если эти два фактора не противоречат? Ну нафига в ACL включать пользователя, а не группу? Пользователь даже не заметит разницы.
По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP. »
Я для того и создал топик, чтобы найти ссылку на статью. Наверняка, кто-нибудь видел хорошую и положил себе в закладки... :)
За линк на программу от Sysinternals спасибо, обязательно посмотрю.

Если вы понимаете, что такое AGDLP и знаете, как её применить, то статей-то, в общем, и не нужно.

Я предложил создать нормальную структуру, где будет папка "Общая" с правами, точнее разрешениями Change для Domain Users »На корневую папку лучше давать "траверс папок" и "содержание папки", и указать, что это применяется только для этой папки. Тогда пропадёт необходимость прерывать наследование для вложенных папок.
Ну и включить на общем ресурсе Access-based enumeration, чтобы отделы видели только то, на что у них есть права.

Если вы понимаете, что такое AGDLP и знаете, как её применить, то статей-то, в общем, и не нужно. »
Так я не для себя. :) Шефу дать прочитать. Дабы проникся идеей :)

AsvComp,
У шефа и так голова занята самыми различными вещами. Работой, семьей, отдыхом. Как то не совсем корректно, чтобы сотрудник приходил и клал на стол статью чтобы начальник "проникся идеей". Зачем ему проникаться, если ее не могут ему изложить наглядно, не могут вывести четких и ясных плюсов и минусов, временных, материальных, экономических потерь?
Для него система работает. Точка. Работает -- не трогай. Более того, проект перевода схемы разделения прав требует времени его отдела. Процесс новый, подводных камней мало кто знает. Технология (для данной фирмы) сырая (даже просто по тому, что впервый раз). И пока его сотрудники "развлекаются", ответственность за это несет он. И по шапке, случись чего, получит он. За что он будет получать - он не знает. Терминов не знает. Ничего не знает. Его позиция никак не прикрыта.

Я например не знаю, что такое AGDLP. Для меня это непонятный термин, которым козыряет сотрудник, делая вид, что он самый умный. Я уже склонен сказать нет. Т.к. меня не уважают. Перед моим носом машут какой то бумагой, от которой я должен вдохновиться и проникнуться идеей, какие у меня замечательные сотрудники?!? Фиг с маслом!
Да, я знаю о распределении прав на общий ресурс с помощью групп из AD, руками, на практике. Но этот непроизносимый набор букв вижу впервые. Вы его без подсказки рассшифровать можете? А по русски? А о чем тогда речь?

До тех пор, пока сотрудник не научится правильно излагать свои мысли, хватая термины по верхам, зеленый свет ему никто не даст.

----
В конце концов можно пойти на компромисс и перевести допустим отдел IT или дружественный на данную систему. Потом спросить начальство, заметило ли оно разницу ("Пользователь даже не заметит разницы")?
Сделайте предварительную подготовку AD, чтобы в случае визирования бумаги, процесс внедрения прошел в кратчайшие сроки. Подготовьте план мигрирования, оцените возможные проблемы и пути их решения. Сделайте в конце концов нормальный проект ,а не филькину грамоту. ИТ Директор он не для красоты, он для согласования вашего энтузиазма с непрерывностью основных бизнесс-процессов предприятия.

----
100% возникнет ситуация, когда пользователям потребуется папка внутри отдела "только для них". Или еще для двух пользователей из "соседних отделов". Т.е. метод конечно хороший, но допиливать его все равно придется.