Segue abaixo uma explicação bem legal sobre estrutura de permissionamento em alto nível.
Iniciamos pela fórmula: A -> G -> DL <- P
- A – Account: Conta de Usuário (Login);
- G – Grupo: Global (Serve para Organizar objetos do mesmo Domínio);
- DL – Grupo: Domínio Local (Serve para Organizar objetos do mesmo Domínio);
- P – Permissão: Onde o Administrador ou Pessoa delegada insere as permissões devidas a usuários ou grupos;
Portanto, nesse exemplo da imagem acima vimos:
- 1. Um usuário do RH, sendo inserido no grupo G_RH, esse grupo é justamente Global, que server para organizar os objetos (usuário, computadores ou outros grupos do mesmo domínio), onde a partir desse momento concentramos todos os usuários do RH em um único grupo específico;
- 2. Onde esse mesmo grupo G_RH é inserido dentro do grupo G_ACESSO_OUTROS_RH_RWM ou G_ACESSO_RH_RWM, em um processo que chamamos de aninhamento de grupos, mas porque foram criados dois grupos globais para RH?, essa é uma questão muito importante em Administração
de File Server em alto nível, porque quando precisamos agrupar usuários ou grupos, o ideal sempre é criar grupo globais para agrupar os recursos, sendo correspondenTE no seu label (nome), desta forma, estamos preparando o ambiente file server para acesso
a sua pasta e todos os usuários, no caso, G_ACESSO_RH_RWM.
E esse outro grupo G_ACESSO_OUTROS_RH_RWM, é para inserir outros grupos globais de outros departamentos, para acesso a pasta no caso RH, não misturando acessos e administração, assim, facilita inserirmos outros departamentos.
Entendendo um pouco melhor essa nomenclatura de nomes, primeiro não é dogma o que estamos escrevendo aqui, mas simplesmente definindo um padrão prévio que pode ser utilizado. G_ACESSO_RH_RWM:
-
G – Grupo Global
-
ACESSO_RH – Acesso a pasta no File Server RH
-
R – Read (Leitura) \ W – Write (Escrita) \ M – Modify (Modificação)
-
Outros (De outros departamentos precisando ter acesso aos recursos de uma área específica)
G – Grupo Global -> Com acesso a pasta RH no file server -> com permissão de Leitura, Escrita e Modificação.
-
- 3. Em seguida, esse grupo G_ACESSO_RH_RWM é aninhado em outro grupo chamado DL_ACESSO_RH_FS_RWM. Onde depois de finalizado essa parte é realizado o processo de conceder a permissão (P).
Acima tem maiores informações sobre grupos, mas o grupo DL (Domínio Local), server para aplicar permissões em recursos no mesmo domínio.
Logo, para não inserirmos diversos grupos globais do mesmo domínio, ou de qualquer outro domínio na mesma ACL dos recursos do domínio, criamos um único DL na ACL dos recursos contido dentro dele diversos grupo globais, sejam eles do mesmo domínio ou de outros domínios.
É na ACL dos recursos que trabalhamos compartilhamentos (Share), e níveis de Permissionamentos mais refinados (Security – NTFS);
PONTO IMPORTANTE: SEMPRE QUE FOR UTILIZAR RECURSOS CRIAR GRUPOS COM LABELS ESPECÍFICOS E CONTAS ESPECÍFICAS, ISSO FACILITA EM SUA ADMINISTRAÇÃO, CONTROLE E EVITA PROBLEMAS MAIORES, COMO USAR SUA
CONTA PARA ISSO E MISTURAR GRUPOS DE RECURSOS.
Mais abaixo vamos explicar em detalhes uma construção de um File Server em alto nível, mas vamos antecipar do porque desse grupo:
• DL_USUARIOS_FS
Esse grupo é um dos grupos mais importantes dentro de um file server, e deve ser protegido pelo administrador, pelo simples motivo desse mesmo grupo estar aninhado com o grupo G_USUARIOS_FS, no qual está contido nesse grupo todos os grupos globais departamentais da empresa que acessam o File Server.
Está intrínseco na imagem o grupo (G_USUARIOS_FS), mas já sabemos que para organizar recursos usamos o grupo global que é membro de DL_USUARIOS_FS.
Mas retornando a importância desses Grupos (G_USUARIOS_FS - DL_USUARIOS_FS), o que estamos explicando é que qualquer mudança nesses grupos irão interferir diretamente no backbone principal de acesso dos departamentos da empresa, logo a proteção via ACL no grupo é fundamental e está compliance com as boas práticas de segurança de File Server.
- 4. Finalmente chegamos a nível de permissionamento (P), onde no qual, aplicamos todos os níveis desejados nas abas: Share e Security, e principalmente somente em um único grupo DL, onde destacamos alguns pontos positivos nesse nível de configuração:
- - Maior performance na leitura tanto na ACL via Sistema, quanto na Comunicação via Active Directory, logo se você tiver um ambiente no compliance, tudo via usuários e não grupos no seu File Server a percepção para os usuários será bem maior de lentidão;
- - Administração mais complicada de gerenciar sem um fluxo de grupos;
- - Boas práticas é usar somente Grupos DL (Domínio Local), para aplicar Permissionamentos de recursos quaisquer;
- - Grupos Globais são para organizar usuários ou outros grupos globais;
Vídeo Hangout ao VIVO de Configuração:
Link do Ebook completo e Gratuito:
Ebook: O Guia de Bolso do Administrador de Rede Microsoft – Implementando e Administrando um File Server – Engenheiro Microsoft