![]() |
Посоветуйте статью про AGDLP...
Разыскивается внятная, желательно недлинная и несложная статья о преимуществах использования общепринятой стратегии организации доступа к шаренным ресурсам Acoount->Global group->Domain Local group <-Permission. Суть проблемы в том, что я не могу обосновать непосредственному начальнику, почему это правильно. Была бы его воля, он оставил бы один, максимум - два шаренных ресурса, а дальше - назначал бы конкретным пользователям (даже не группам) права на вложенные папки в явном виде, блокируя наследование разрешений. В общем-то, так сейчас и есть. Я, мягко говоря, был поражен, когда переносил папку "Бухгалтерия" со старого сервера на новый. Там внутри большое количество вложенных папок, и почти у каждой свои ACL, состоящие из пользователей с разным уровнем доступа. Там и "личные" папки, к которым имеет доступ только один пользователь, и папки, к которым есть доступ у двух-трех пользователей... Бред. При этом, скриптами пользователям подключаются сетевые диски - на одну букву диска папка "Общая", на другую - вложенная папка из этого же ресурса...
Я предложил создать нормальную структуру, где будет папка "Общая" с правами, точнее разрешениями Change для Domain Users, папки отделов, в т.ч. Бухгалтерия и пр. Также можно прицепить пользователям домашние папки, чтобы хранили рабочие документы на RAID-е сервера и настроить для них бэкап. В ответ я услышал нежелание делать десятки шар. Какие тут десятки???? Да, будут большие сложности с тем, чтобы переучить бухгалтерию, да и подавляющее большинство пользователей к новым буквам дисков, структуре папок и пр. Некоторые из пользователей на полном серьезе и с недовольным видом убеждали меня, что еще неделю назад (т.е. до ввода в эксплуатацию нового сервера) у них в 1С при нажатии пункта меню "Сохранить как..." открывалась не папка "Мои Документы", а папка на общем сетевом диске. Еще сложность в том, что мой непосредственный руководитель считает, что мы, как админы должны "делать так, чтобы было удобно пользователям, а не было удобно администрировать нам". Поэтому издавна и идет такой бардак. Моя же проблема в том, что я не могу рассказывать, доказывать и убеждать. Ну не мое это. Да, я могу более-менее нормально написать текст, но вести дискуссию и убеждать - увольте. Поэтому и прошу ссыль на какую-нибудь статью про организацию структуры папок на предприятии, желательно с картинками и примерами... ps Смену работы не предлагайте. pps В качестве аргумента приводил то, что длина списков ACL при "поштучном" добавлении пользователей не лучшим образом влияет на производительность сервера. Не помогло. Дескать, у нас мало пользователей, для сервера это не создаст значительной нагрузки. Мне тут возразить нечего. Я даже не знаю, как замерить или оценить влияние количества ACE на производительность сервера... |
Цитата:
Цитата:
Обучение кондовых пользователей - очень сложный процесс, и без железобетонного желания руководства его бессмысленно затевать, утонет в болоте. |
Цитата:
Прежде всего нужно внимательно изучить структуру прав. У Sysinternals есть отличная программа AccessEnum, с помощью которой можно составить список. А удобства от AGDLP такие: 1) быстрота предоставления прав - нужно добавить пользователя только в группу в AD, и всё. 2) Снижение нагрузки на файловый сервер - ему не придётся каждый раз прописывать права для всех файлов в папке для нового пользователя. 3) Наглядность - глядя в AD, можно сразу сказать, кто на что имеет права. Минусы: 1) Нужно создавать в AD кучу групп (но это только на первом этапе). 2) Пользователь получает права на новый ресурс только после перезахода в систему. Пользователей обучать нужно, но только поставив их в условия, при которых они от обучения никуда не денутся. А это делается через выпуск регламентов и приказов, т. е., через административные рычаги. Но перед этим нужно подготовиться - наладить сервис и написать понятные инструкции с картинками. По поводу обоснования - нужно предоставить начальнику текущее положение вещей, схему перехода (в том числе шаблоны писем оповещения пользователей о планируемом переезде) и планируемую красивую схему, где всё будет по AGDLP. Если начальнику будет пофигу - не спорьте с ним, а положите все ваши расчёты в укромное место. Это хороший опыт, и на следующем собеседовании будет что показать. И, конечно, продолжайте думать над улучшением инфраструктуры и кладите это в свою копилку. |
Цитата:
Цитата:
За линк на программу от Sysinternals спасибо, обязательно посмотрю. |
Если вы понимаете, что такое AGDLP и знаете, как её применить, то статей-то, в общем, и не нужно.
Цитата:
Ну и включить на общем ресурсе Access-based enumeration, чтобы отделы видели только то, на что у них есть права. |
Цитата:
|
|
Время: 10:22. |
Время: 10:22.
© OSzone.net 2001-