[Amigos]

Цитата AsvComp:

мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". »

но ведь он прав же!

Цитата AsvComp:

переучить бухгалтерию, да и подавляющее большинство пользователей к новым буквам дисков, »

ситуация, когда "проще новых нарожать, чем этих отмыть"
Обучение кондовых пользователей - очень сложный процесс, и без железобетонного желания руководства его бессмысленно затевать, утонет в болоте.

[DJ Mogarych]

Цитата Amigos:

но ведь он прав же! »

Удобно админу - удобно пользователю. Если начальник плюёт на своих подчинённых и игнорирует их рацпредложения, то хреновый это начальник.

Прежде всего нужно внимательно изучить структуру прав. У Sysinternals есть отличная программа AccessEnum, с помощью которой можно составить список.

А удобства от AGDLP такие:
1) быстрота предоставления прав - нужно добавить пользователя только в группу в AD, и всё.
2) Снижение нагрузки на файловый сервер - ему не придётся каждый раз прописывать права для всех файлов в папке для нового пользователя.
3) Наглядность - глядя в AD, можно сразу сказать, кто на что имеет права.

Минусы:
1) Нужно создавать в AD кучу групп (но это только на первом этапе).
2) Пользователь получает права на новый ресурс только после перезахода в систему.

Пользователей обучать нужно, но только поставив их в условия, при которых они от обучения никуда не денутся. А это делается через выпуск регламентов и приказов, т. е., через административные рычаги. Но перед этим нужно подготовиться - наладить сервис и написать понятные инструкции с картинками.

По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP.

Если начальнику будет пофигу - не спорьте с ним, а положите все ваши расчёты в укромное место. Это хороший опыт, и на следующем собеседовании будет что показать. И, конечно, продолжайте думать над улучшением инфраструктуры и кладите это в свою копилку.

[AsvComp]

Цитата Amigos:

Цитата AsvComp: мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". » но ведь он прав же! »

Согласен, но если эти два фактора не противоречат? Ну нафига в ACL включать пользователя, а не группу? Пользователь даже не заметит разницы.

Цитата DJ Mogarych:

По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP. »

Я для того и создал топик, чтобы найти ссылку на статью. Наверняка, кто-нибудь видел хорошую и положил себе в закладки...
За линк на программу от Sysinternals спасибо, обязательно посмотрю.

[DJ Mogarych]

Если вы понимаете, что такое AGDLP и знаете, как её применить, то статей-то, в общем, и не нужно.

Цитата AsvComp:

Я предложил создать нормальную структуру, где будет папка "Общая" с правами, точнее разрешениями Change для Domain Users »

На корневую папку лучше давать "траверс папок" и "содержание папки", и указать, что это применяется только для этой папки. Тогда пропадёт необходимость прерывать наследование для вложенных папок.
Ну и включить на общем ресурсе Access-based enumeration, чтобы отделы видели только то, на что у них есть права.

[AsvComp]

Цитата DJ Mogarych:

Если вы понимаете, что такое AGDLP и знаете, как её применить, то статей-то, в общем, и не нужно. »

Так я не для себя. Шефу дать прочитать. Дабы проникся идеей

[lxa85]

AsvComp,

Рассказать вам позицию шефа, которую вы упорно считаете не верной?

У шефа и так голова занята самыми различными вещами. Работой, семьей, отдыхом. Как то не совсем корректно, чтобы сотрудник приходил и клал на стол статью чтобы начальник "проникся идеей". Зачем ему проникаться, если ее не могут ему изложить наглядно, не могут вывести четких и ясных плюсов и минусов, временных, материальных, экономических потерь?
Для него система работает. Точка. Работает -- не трогай. Более того, проект перевода схемы разделения прав требует времени его отдела. Процесс новый, подводных камней мало кто знает. Технология (для данной фирмы) сырая (даже просто по тому, что впервый раз). И пока его сотрудники "развлекаются", ответственность за это несет он. И по шапке, случись чего, получит он. За что он будет получать - он не знает. Терминов не знает. Ничего не знает. Его позиция никак не прикрыта.

Я например не знаю, что такое AGDLP. Для меня это непонятный термин, которым козыряет сотрудник, делая вид, что он самый умный. Я уже склонен сказать нет. Т.к. меня не уважают. Перед моим носом машут какой то бумагой, от которой я должен вдохновиться и проникнуться идеей, какие у меня замечательные сотрудники?!? Фиг с маслом!
Да, я знаю о распределении прав на общий ресурс с помощью групп из AD, руками, на практике. Но этот непроизносимый набор букв вижу впервые. Вы его без подсказки рассшифровать можете? А по русски? А о чем тогда речь?

До тех пор, пока сотрудник не научится правильно излагать свои мысли, хватая термины по верхам, зеленый свет ему никто не даст.

----
В конце концов можно пойти на компромисс и перевести допустим отдел IT или дружественный на данную систему. Потом спросить начальство, заметило ли оно разницу ("Пользователь даже не заметит разницы")?
Сделайте предварительную подготовку AD, чтобы в случае визирования бумаги, процесс внедрения прошел в кратчайшие сроки. Подготовьте план мигрирования, оцените возможные проблемы и пути их решения. Сделайте в конце концов нормальный проект ,а не филькину грамоту. ИТ Директор он не для красоты, он для согласования вашего энтузиазма с непрерывностью основных бизнесс-процессов предприятия.

----
100% возникнет ситуация, когда пользователям потребуется папка внутри отдела "только для них". Или еще для двух пользователей из "соседних отделов". Т.е. метод конечно хороший, но допиливать его все равно придется.