Удобно админу - удобно пользователю. Если начальник плюёт на своих подчинённых и игнорирует их рацпредложения, то хреновый это начальник.
Прежде всего нужно внимательно изучить структуру прав. У Sysinternals есть отличная программа
AccessEnum, с помощью которой можно составить список.
А удобства от AGDLP такие:
1) быстрота предоставления прав - нужно добавить пользователя только в группу в AD, и всё.
2) Снижение нагрузки на файловый сервер - ему не придётся каждый раз прописывать права для всех файлов в папке для нового пользователя.
3) Наглядность - глядя в AD, можно сразу сказать, кто на что имеет права.
Минусы:
1) Нужно создавать в AD кучу групп (но это только на первом этапе).
2) Пользователь получает права на новый ресурс только после перезахода в систему.
Пользователей обучать нужно, но только поставив их в условия, при которых они от обучения никуда не денутся. А это делается через выпуск регламентов и приказов, т. е., через административные рычаги. Но перед этим нужно подготовиться - наладить сервис и написать понятные инструкции с картинками.
По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP.
Если начальнику будет пофигу - не спорьте с ним, а положите все ваши расчёты в укромное место. Это хороший опыт, и на следующем собеседовании будет что показать. И, конечно, продолжайте думать над улучшением инфраструктуры и кладите это в свою копилку.
