Anton_Zhukov
16-11-2016, 09:34
Доброе утро! Не могу найти информации о вложенности групп в AD. Есть следующая задача: Есть в компании отделы и необходимо создать группы под каждый отдел и построить как бы дерево групп, к примеру:
Коммерческий департамент в него должна входить группа Директор, далее группа Управление отдела продаж входит в коммерческий департамент, в нее входит группа старший менеджер, далее группа отдел продаж входит в управление отдела продаж и т.д., и в конечном итоге имеется должность Менеджер оптовых продаж, и допустим я добавляю в нее пользователя и для теста создал папки с доступом разрешения для каждой созданной группы, для проверки вложенности групп. В итоге этот менеджер имеет доступ ко всем папкам, а коммерческий департамент наоборот, только к своей.
Почему то при применении таких вложений, дает доступ и запрещает как должен
Коммерческий департамент > управление отдела продаж > отдел продаж > отдел оптовых продаж > менеджер продаж
> - Означает, что я добавляю слева стоящую группу в правую, т.е. делаю по логике все наоборот. А если делать по логике нормально, т.е. добавлять менеджера продаж в отдел оптовых продаж, оптовые продажи в отдел продаж, отдел продаж в управление и т.д., то при назначении группы менеджера продаж пользователю, он имеет доступ ко всем папкам, а если в коммерческий департамент, то имеет доступ только к ней.
Коммерческий департамент в него должна входить группа Директор, далее группа Управление отдела продаж входит в коммерческий департамент, в нее входит группа старший менеджер, далее группа отдел продаж входит в управление отдела продаж и т.д., и в конечном итоге имеется должность Менеджер оптовых продаж, и допустим я добавляю в нее пользователя и для теста создал папки с доступом разрешения для каждой созданной группы, для проверки вложенности групп. В итоге этот менеджер имеет доступ ко всем папкам, а коммерческий департамент наоборот, только к своей.
Почему то при применении таких вложений, дает доступ и запрещает как должен
Коммерческий департамент > управление отдела продаж > отдел продаж > отдел оптовых продаж > менеджер продаж
> - Означает, что я добавляю слева стоящую группу в правую, т.е. делаю по логике все наоборот. А если делать по логике нормально, т.е. добавлять менеджера продаж в отдел оптовых продаж, оптовые продажи в отдел продаж, отдел продаж в управление и т.д., то при назначении группы менеджера продаж пользователю, он имеет доступ ко всем папкам, а если в коммерческий департамент, то имеет доступ только к ней.