好久沒有寫了,慢慢開始吧.
我所在的公司在我接手的時候,對於共享的管理是非常混亂的,所有的權限直接通過用戶去控制.
這樣的使用方式雖然不會直接造成功能上的問題,但是在後期管理,整改的時候會造成非常大的麻煩.
最近參加了MCSE的培訓,微軟有一套關於權限管理的AGDLP原則,強烈建議大家遵循這個規則去做.
爲什麼寫磁盤映射的博文會從共享權限開始說呢?
只能說因爲我自己深受其害,所以先說出來省得大家碰到跟我一樣的問題.而且接下來的說明也會根據用戶組來做.接下來進入正題吧.
· 環境說明:
兩臺虛擬機,環境需求比較簡單.
DC1:安裝ADDS角色,域集成的DNS區域.(其實還有個DHCP,但不在此做討論)
WIN7-1:加入域就可以了.
· 情景:
TOM和JERRY是公司的兩位新入職的員工,TOM加入了HR部門,JERRY則加入了FIN部門.
這兩個部門分別有自己的部門共享HR$和FIN$,部門內的人員都需要連接到共享磁盤.
IT人員通過組策略的方式,根據部門的區別,在TOM和JERRY登錄系統時自動的映射自己部門的共享文件夾.
· 過程:
在域中新建組HR,FIN;新建用戶TOM加入HR組,新建用戶JERRY加入FIN組.
在DC1上建立HR$,FIN$兩個共享文件夾(在共享名後加上$可以達到隱藏共享的效果,提高安全性.此例中加上$爲了跟HR和FIN組區分開不要造成誤解)
共享權限:EVERYONE完全控制(實際訪問權限通過NTFS權限進行控制)
NTFS權限:HR$中加入HR組賦予完全控制權限,FIN$中加入FIN組賦予完全控制權限.
打開組策略管理器,新建一條組策略對象(GPO)就起名叫"磁盤映射"吧.
然後在以下位置新建映射驅動器
在新建驅動器屬性中進行操作
在常規選項卡的"操作"選擇替換,防止盤符被佔用而失敗的情況.(實際環境中請根據自己的實際情況進行選擇)
位置填寫共享文件夾的UNC路徑 \\dc1\hr$ (切記不要填D:\HR$這樣的本地路徑)
將重新連接後的勾打上,在後面輸入"人事部"
在後面的常用選項卡中勾上項目級別目標,然後在後面的目標中新建一個安全組的項目輸入HR組然後一路確定
然後再按照上面的步驟新建映射驅動器連接FIN$共享,在項目中添加FIN組.最後結果如下圖.
以上策略就做完就完成基本的設置.因爲通過項目目標控制,所以我是直接鏈接到域上,安全篩選中選擇Authenticated Users(AD的內置組,意思是通過驗證的用戶),當然實際使用中根據自己的情況操作.
至此,我們在AD的操作已經完成.去客戶端驗證一下吧.
我們使用TOM賬戶在WIN7-1客戶端上登錄吧.
上圖中可以看到,登錄後已經自動映射好了人事部的共享了.
同樣,我們通過JERRY的帳號登錄,同樣也已經連接好了賬務部的共享了.
· 擴展:
在以後的使用當中,將用戶組及權限設置好以後,只需要在域帳號管理時,將用戶加入相應部門的組後,當用戶登錄時就可以自動連接部門的共享了,提高了標準化的同時簡化了手動設置這樣繁瑣又無技術含量的事情,用更多的時間創造更多的價值.
備註:
3.共享及NTFS權限需要根據自己的情況去進行設置,使用EVERYONE在實際生產中是極不推薦的.但請確保相關的用戶能拿到相應的權限.