Windows - Chính sách nhóm - Nhiều ổ chia sẻ w/ Nhắm mục tiêu theo cấp độ mục

Tổng quan

Chúng tôi đã làm việc để nhiều trang web của chúng tôi ánh xạ các bộ nhớ dùng chung cho từng người dùng cần truy cập vào trang web của họ. Chúng tôi không có cách nào chuẩn hóa điều này từ trong hồ sơ AD của họ vì một số người dùng di chuyển nhiều nơi và cuối cùng không báo cho bộ phận CNTT cho đến khi họ cần quyền truy cập vào một bộ nhớ chia sẻ trang web cụ thể. Đổi lại, chúng tôi đã tạo các nhóm bảo mật cho từng trang web và sẽ sử dụng nhóm này làm mục tiêu cấp mục trong Chính sách nhóm ở gốc cấu trúc AD cho các trang web, hy vọng nó sẽ nhỏ giọt và chỉ cung cấp cho những người trong nhóm bảo mật ổ đĩa họ cần.

Thông tin hệ thống

Hệ điều hành: Windows Server 2016

Điều sau đây liên quan đến bốn máy trên hai DC

Bộ điều khiển miền (GPO, Active Directory)

Hệ điều hành: NetApp sẽ được thay thế trong tương lai gần bằng Nutanix Files.

Chia sẻ Ổ đĩa cho từng trang web của chúng tôi dưới thư mục gốc và không chia sẻ phụ vì người dùng sẽ điền vào các thư mục dùng chung này bằng bất kỳ tệp nào họ sử dụng/tạo

Cấu trúc

Chúng tôi ánh xạ ổ đĩa tới người dùng kết nối với thiết bị NetApp của chúng tôi. Công cụ NetApp có các thư mục con dựa trên từng tên trang web, từ đó có bất kỳ thứ gì người dùng đặt trong các thư mục này. Cấu trúc trông tương tự như sau:

Cổ phiếu NetApp
âââ Trang web 1
âââ Trang web 2
âââ Trang web 3
âââ Trang web 4
âââ Trang web 5

Chúng tôi có nhiều Nhóm bảo mật, chẳng hạn như sau:

Site1-ShareDrive
Site2-ShareDrive
Site3-ShareDrive
Site4-ShareDrive
Site5-ShareDrive

Trong các nhóm bảo mật nói trên, chúng tôi có những người dùng có thể không có trong Đơn vị tổ chức của Trang web đó, vì một số người quản lý nhiều trang web hoặc thường xuyên di chuyển và cần nhiều trang web trong bộ phận của họ.

Ví dụ:

Site1-ShareDrive
âââ Người dùng13
âââ Người dùng20
âââ Người dùng33
âââ Người dùng42
âââ Người dùng51

Site4-ShareDrive
âââ Người dùng13
âââ Người dùng22
âââ Người dùng23
âââ Người dùng1
âââ Người dùng5
âââ Người dùng3
âââ Người dùng100

Site9-ShareDrive
âââ Người dùng13
âââ Người dùng22
âââ Người dùng23
âââ Người dùng1
âââ Người dùng53
âââ Người dùng54
âââ Người dùng545

Cấu trúc QUẢNG CÁO:

Tất cả các trang web
âââ Phân khu-1
| âââ Trang web 1
| âââ Trang web 2

âââ Phân khu-2
| âââ Trang web 3
| âââ Trang web 4
| âââ Trang web 5

âââ Phân khu-3
| âââ Trang web 6
| âââ Trang web 7
| âââ Trang web 8

âââ Phân khu-4
| âââ Trang web 9
| âââ Trang 10

Đối với Chính sách nhóm, chúng tôi muốn đặt các chính sách ở cấp "Tất cả trang web" về mặt lý thuyết sẽ áp dụng cho toàn bộ cấu trúc, nhưng chỉ chúng được áp dụng dựa trên việc liệu người dùng có thuộc nhóm bảo mật được nhắm mục tiêu hay không

Số báo

Trong Chính sách nhóm, chúng tôi đang tạo các chính sách mới cho từng trang web có mục tiêu cấp mục cho nhóm bảo mật của trang web cụ thể đó

Ví dụ:

User1 thuộc các nhóm sau:

quản lý
Site1-ShareDrive
Site9-ShareDrive

Người dùng 13 thuộc các nhóm sau:

Bạn đồng hành
Site1-ShareDrive
Site4-ShareDrive
Site9-ShareDrive

Theo logic, sau đây nên là thiết lập của chúng tôi:

• Người dùng1 chỉ nên có quyền truy cập vào \example.com\Shares\Site1 và \site9
• Người dùng13 chỉ nên có quyền truy cập vào \example.com\Shares\Site1, \site4 và \site9

Thật không may, vấn đề này tồn tại ở quy mô lớn hơn nhiều khi bạn thêm vào thực tế là một số người dùng có thể là người quản lý chỉ cần một trang web, trong khi những người quản lý khác có thể cần nhiều trang web hơn và đối tác truy cập vào bộ phận mà họ phụ trách. Một vấn đề khác mà chúng tôi đang gặp phải là một số trang web là sự hợp tác giữa các bộ phận, đó là lý do tại sao một số người dùng bên ngoài đơn vị tổ chức của bộ phận của họ cần quyền truy cập vào ổ đĩa chia sẻ của các trang web bộ phận khác. Ngoài việc thêm chúng vào các nhóm bảo mật này, việc chuyển xuống cấp độ tệp để có quyền NTFS vào thời điểm này sẽ là một cơn ác mộng, vì chúng tôi đang sử dụng một thiết bị NetApp cũ mà nhà cung cấp của chúng tôi thực sự sắp EOL. Chúng tôi chưa có mốc thời gian khi nào chúng tôi sẽ chuyển sang nền tảng mới.

Ngoài ra

Chúng tôi muốn ẩn bất kỳ thư mục nào mà người dùng không có quyền truy cập. Ví dụ, trong ví dụ trên, User1 thậm chí sẽ không biết về sự tồn tại của \example.com\Shares\Site8 vì người dùng không thuộc nhóm bảo mật tương ứng

Chúng tôi muốn có thể áp dụng một số nhóm bảo mật theo trang web mà người dùng cần. Cùng với việc đặt mục tiêu cấp độ vật phẩm vào nhóm bảo mật đó. Cấu trúc OU hiện tại của chúng tôi giống như sau:

Cấu trúc OU ví dụ

Tất cả các trang web
    Trang web 1
      Người dùng13
    trang 4
      Người dùng1
    trang 9
      Người dùng545

câu hỏi

1. Làm cách nào chúng tôi có thể đảm bảo rằng cấu trúc của chúng tôi hoạt động với Nhắm mục tiêu cấp độ mặt hàng? (I E.GP: 'Quyền truy cập Site1-ShareDrive' sẽ có ổ đĩa "\example.com\shares\Site1" được ánh xạ qua "Cập nhật" và "Kết nối lại" Đã kiểm tra, cùng với "Chạy trong bối cảnh bảo mật người dùng" và "Mục tiêu cấp mục" được đặt đến "Site1-ShareDrive", với nó được liên kết với "Tất cả các trang")?
2. Nếu một số điều trên là không thể, làm thế nào chúng tôi có thể đảm bảo tính dễ sử dụng cho người dùng của mình, đồng thời tăng năng suất CNTT?

Một vài thứ:

Ẩn tệp và thư mục mà không có quyền:
Để ẩn các thư mục mà người dùng không có quyền truy cập, bạn có thể bật "Liệt kê dựa trên quyền truy cập" trên các chia sẻ. Điều đó nói rằng, không nên làm như vậy trừ khi bạn có yêu cầu nghiêm ngặt về nó. ABE có thể làm tăng đáng kể mức sử dụng CPU đối với chia sẻ tệp, vì ACL của mỗi tệp cần được liệt kê bất cứ khi nào một thư mục được duyệt qua.

Liên kết GPO với các site logic AD:
Bạn có thể tiết kiệm một số thời gian xử lý Tùy chọn chính sách nhóm bằng cách áp dụng một GPO cho các ổ đĩa được ánh xạ trực tiếp tới các trang logic Active Directory của bạn, nếu bạn có một trang AD logic đại diện cho từng vị trí thực. (Lưu ý, điều này yêu cầu sử dụng bảng điều khiển quản lý Trang web và Dịch vụ AD hoặc mô-đun AD PowerShell để ánh xạ mạng con tới các trang web cụ thể.) Thách thức duy nhất với phương pháp này là một số ít người dùng cần truy cập vào phần chia sẻ của nhiều trang web, bất kể trang web nào họ đang ở. Điều này có thể được thực hiện bằng cách tạo một số dự phòng trên các GPO dành riêng cho trang web để ánh xạ ổ đĩa, nhưng một lần nữa...nó trở nên kém hiệu quả hơn.

Quay lại tùy chọn chính sách nhóm:
Có vẻ như ban đầu bạn đã hiểu rõ về cách sử dụng nhắm mục tiêu cấp mặt hàng cho công việc này. Đây là một bố cục ILT tiềm năng cho một giả thuyết "Chia sẻ 1" tại "Trang web A":

Chỉnh sửa GPO và mở rộng thông qua Cấu hình người dùng> Tùy chọn> Cài đặt Windows, rồi bấm vào Drive Maps.

1. Định cấu hình cài đặt bản đồ ổ đĩa chung của bạn cho Chia sẻ 1 tại Trang web A.
2. Chuyển đến tab Chung, bật nhắm mục tiêu cấp Mục và nhấp vào nút Cài đặt nhắm mục tiêu....
3. Bây giờ, bạn sẽ muốn sử dụng nhiều bộ sưu tập ILT để nhóm các điều kiện nhắm mục tiêu. Từ những gì bạn đã mô tả, tôi sẽ tạo một thứ giống như sau:

Vật phẩm và Bộ sưu tập ILT

1. Thêm một bộ sưu tập trong đó 'bộ sưu tập này là đúng'

• Thêm một điều kiện cho biết người dùng là thành viên của nhóm bảo mật "Site A"
• thêm một điều kiện [VÀ] trang web là "SiteA"

2. Thêm bộ sưu tập thứ hai (trong đó bộ sưu tập này là đúng) và đặt Tùy chọn Mục của bộ sưu tập thành HOẶC

• Trong bộ sưu tập thứ hai, hãy thêm một mục để bao gồm những người quản lý cần quyền truy cập vào nhiều lượt chia sẻ trang web. Sử dụng nhóm bảo mật và đặt mục thành `người dùng là thành viên của nhóm bảo mật "Người quản lý trang" (giả sử nhóm này có quyền truy cập vào nhiều trang chia sẻ.

Bấm OK để lưu và đóng mục bản đồ ổ đĩa hiện tại. Ví dụ này có thể giải quyết thách thức của bạn.

Kiểm soát truy cập động
Bạn cũng có thể muốn xem xét việc sử dụng tính năng Kiểm soát truy cập động trên máy chủ tệp của mình. Tính năng này làm cho ACL (danh sách kiểm soát truy cập) trên hệ thống tệp mạnh hơn nhiều bằng cách bật hai tính năng mới:

• Khả năng sử dụng cả hai HOẶC và VÀ toán tử trong ACL
• Khả năng thêm quyền hoặc điều kiện dựa trên yêu cầu đối với quyền. Yêu cầu có thể dựa trên 3 loại đối tượng: thuộc tính người dùng, thuộc tính thiết bị hoặc yêu cầu chuyển đổi (thường là từ các quy tắc được tạo trong chính sách).

Xác nhận quyền sở hữu của người dùng và thiết bị có thể dựa trên hầu hết các thuộc tính của đối tượng người dùng hoặc thiết bị trong AD, do đó, theo giả thuyết, bạn có thể đi xa hơn là tạo quy tắc DAC cho biết: cấp quyền truy cập cho người dùng nếu họ thuộc 'Nhóm A' và không sử dụng thiết bị di động và nếu họ đang sử dụng máy tính thuộc 'Trang web A' (điều này sẽ dựa trên mạng con địa chỉ IP được ánh xạ trong AD). Hơn nữa, bạn có thể sử dụng các chính sách phân loại dữ liệu để áp dụng các quy tắc kiểm soát truy cập động khác nhau, tùy thuộc vào yêu cầu của người dùng hoặc thiết bị... nhưng đó là cấp độ tiếp theo! Tôi khuyên bạn nên xem xét DAC, nhưng chỉ cần biết rằng nó có nhiều yếu tố phụ thuộc phức tạp hơn là chỉ hoạt động thông qua cấu hình nhắm mục tiêu cấp mục tốt.