Windows - นโยบายกลุ่ม - แชร์ไดรฟ์จำนวนมากพร้อมการกำหนดเป้าหมายระดับรายการ

ภาพรวม

เรากำลังดำเนินการเพื่อให้ไซต์จำนวนมากของเราสามารถแมปไดร์ฟแบ่งปันสำหรับผู้ใช้แต่ละรายที่ต้องการเข้าถึงไซต์ของพวกเขา เราไม่มีทางสร้างมาตรฐานนี้จากภายในโปรไฟล์ AD ของพวกเขา เนื่องจากผู้ใช้บางคนย้ายไปมาบ่อย ๆ และจบลงด้วยการไม่บอกฝ่าย IT จนกว่าพวกเขาจะต้องการเข้าถึงไดรฟ์ที่ใช้ร่วมกันของไซต์ใดไซต์หนึ่ง ในทางกลับกัน เราได้สร้างกลุ่มความปลอดภัยสำหรับแต่ละไซต์และจะใช้สิ่งนี้เป็นเป้าหมายระดับรายการภายในนโยบายกลุ่มที่รากของโครงสร้าง AD ของเราสำหรับไซต์ โดยหวังว่ามันจะหยดลงและให้เฉพาะกลุ่มความปลอดภัยเท่านั้น ไดรฟ์ที่พวกเขาต้องการ

ข้อมูลระบบ

ระบบปฏิบัติการ: Windows Server 2016

ข้อมูลต่อไปนี้เกี่ยวข้องกับเครื่องจักรสี่เครื่องใน DC สองเครื่อง

ตัวควบคุมโดเมน (GPO, Active Directory)

ระบบปฏิบัติการ: NetApp ซึ่งจะถูกแทนที่ด้วย Nutanix Files ในอนาคตอันใกล้นี้

แบ่งปันไดรฟ์สำหรับแต่ละไซต์ของเราภายใต้รากและไม่มีการแบ่งปันย่อย เนื่องจากผู้ใช้จะเติมโฟลเดอร์ที่แบ่งปันเหล่านี้ด้วยไฟล์ใดก็ตามที่พวกเขาใช้/สร้าง

โครงสร้าง

เราแมปไดรฟ์กับผู้ใช้ของเราที่เชื่อมต่อกับอุปกรณ์ NetApp ของเรา อุปกรณ์ NetApp มีโฟลเดอร์ย่อยตามชื่อไซต์แต่ละชื่อ ซึ่งผู้ใช้ใส่ไว้ในโฟลเดอร์เหล่านี้ด้วย โครงสร้างมีลักษณะดังต่อไปนี้:

หุ้นของเน็ตแอพ
âââ ไซต์ 1
âââ ไซต์ 2
âââ ไซต์ 3
âââ ไซต์ 4
âââ ไซต์ 5

เรามีกลุ่มความปลอดภัยหลายกลุ่ม เช่น:

Site1-ShareDrive
Site2-ShareDrive
Site3-ShareDrive
Site4-ShareDrive
Site5-ShareDrive

ภายในกลุ่มความปลอดภัยดังกล่าว เรามีผู้ใช้ที่อาจไม่ได้อยู่ใน OU ของไซต์นั้นโดยกำเนิด เนื่องจากบางคนจัดการหลายไซต์ หรือย้ายไปมาบ่อยๆ และต้องการหลายไซต์ภายในส่วนของตน

ตัวอย่าง:

Site1-ShareDrive
âââ ผู้ใช้13
âââ ผู้ใช้20
âââ ผู้ใช้33
âââ ผู้ใช้42
âââ ผู้ใช้51

Site4-ShareDrive
âââ ผู้ใช้13
âââ ผู้ใช้22
âââ ผู้ใช้23
âââ ผู้ใช้1
âââ ผู้ใช้5
âââ ผู้ใช้3
âââ ผู้ใช้100

Site9-ShareDrive
âââ ผู้ใช้13
âââ ผู้ใช้22
âââ ผู้ใช้23
âââ ผู้ใช้1
âââ ผู้ใช้53
âââ ผู้ใช้54
âââ ผู้ใช้545

โครงสร้างโฆษณา:

ไซต์ทั้งหมด
âââ ดิวิชั่น-1
| âââ ไซต์ 1
| âââ ไซต์ 2

âââ ดิวิชั่น-2
| âââ ไซต์ 3
| âââ ไซต์ 4
| âââ ไซต์ 5

âââ ดิวิชั่น-3
| âââ ไซต์ 6
| âââ ไซต์ 7
| âââ ไซต์ 8

âââ ดิวิชั่น-4
| âââ ไซต์ 9
| âââ ไซต์ 10

สำหรับ Group Policy เราต้องการวางนโยบายที่ระดับ "ไซต์ทั้งหมด" เพื่อให้ทางทฤษฎีลดระดับลงไปยังโครงสร้างทั้งหมด แต่จะใช้เฉพาะเมื่อพิจารณาว่าผู้ใช้อยู่ในกลุ่มความปลอดภัยที่เป็นเป้าหมายหรือไม่

ปัญหา

ภายใน Group Policy เรากำลังสร้างนโยบายใหม่สำหรับแต่ละไซต์ที่มีเป้าหมายระดับรายการไปยังกลุ่มความปลอดภัยของไซต์นั้นๆ

ตัวอย่างเช่น:

User1 อยู่ในกลุ่มต่อไปนี้:

ผู้จัดการ
Site1-ShareDrive
Site9-ShareDrive

ผู้ใช้ 13 อยู่ในกลุ่มต่อไปนี้:

พันธมิตร
Site1-ShareDrive
Site4-ShareDrive
Site9-ShareDrive

ตามเหตุผล ต่อไปนี้ควรเป็นการตั้งค่าของเรา:

• ผู้ใช้1 ควรเข้าถึงได้เท่านั้น \example.com\Shares\Site1 และ \site9
• ผู้ใช้13 ควรเข้าถึงได้เท่านั้น \example.com\Shares\Site1, \site4 และ \site9

น่าเสียดาย ปัญหานี้ยังคงมีขนาดใหญ่ขึ้นเมื่อคุณเพิ่มข้อเท็จจริงที่ว่าผู้ใช้บางรายที่อาจเป็นผู้จัดการต้องการเพียงไซต์เดียว ในขณะที่ผู้จัดการคนอื่นๆ อาจต้องการไซต์มากขึ้นและพาร์ทเนอร์มีสิทธิ์เข้าถึงแผนกของตนที่พวกเขารับผิดชอบ ปัญหาอื่นๆ ที่เรากำลังประสบอยู่คือบางไซต์เป็นความร่วมมือระหว่างฝ่ายต่างๆ ซึ่งเป็นสาเหตุที่ผู้ใช้บางคนที่อยู่นอกแผนกของพวกเขาจำเป็นต้องเข้าถึงไซต์แผนกอื่นที่ใช้ไดรฟ์ร่วมกัน นอกเหนือจากการเพิ่มพวกเขาลงในกลุ่มความปลอดภัยเหล่านี้ที่ลงไปยังระดับไฟล์สำหรับการอนุญาต NTFS ในขณะนี้จะเป็นฝันร้าย เนื่องจากเรากำลังใช้อุปกรณ์ NetApp รุ่นเก่าที่ผู้ขายของเรากำลังจะ EOL ในเร็วๆ นี้ เรายังไม่มีกำหนดเวลาว่าเราจะย้ายไปยังแพลตฟอร์มใหม่เมื่อใด

นอกจากนี้

เราต้องการซ่อนโฟลเดอร์ใดๆ ที่ผู้ใช้ไม่สามารถเข้าถึงได้ ในตัวอย่างข้างต้น ผู้ใช้ 1 จะไม่รู้ด้วยซ้ำว่ามี \example.com\Shares\Site8 เนื่องจากผู้ใช้ไม่ได้อยู่ในกลุ่มความปลอดภัยที่เกี่ยวข้อง

เราต้องการที่จะสามารถใช้กลุ่มความปลอดภัยบางกลุ่มตามเว็บไซต์ที่ผู้ใช้ต้องการ พร้อมกับกำหนดเป้าหมายระดับรายการในกลุ่มความปลอดภัยนั้น โครงสร้าง OU ปัจจุบันของเรามีลักษณะดังต่อไปนี้:

ตัวอย่างโครงสร้าง OU

ไซต์ทั้งหมด
    ไซต์ 1
      ผู้ใช้13
    ไซต์ 4
      ผู้ใช้1
    ไซต์ 9
      ผู้ใช้545

คำถาม

1. เราจะมั่นใจได้อย่างไรว่าโครงสร้างของเราทำงานร่วมกับการกำหนดเป้าหมายระดับรายการ (เช่น.GP: 'Site1-ShareDrive Access' จะมีไดรฟ์ "\example.com\shares\Site1" ที่ถูกแมปผ่าน "อัปเดต" และ "เชื่อมต่อใหม่" พร้อมกับตั้งค่า "เรียกใช้ในบริบทความปลอดภัยของผู้ใช้" และ "เป้าหมายระดับรายการ" เป็น "Site1-ShareDrive" โดยเชื่อมโยงกับ "ไซต์ทั้งหมด")?
2. หากบางข้อไม่สามารถทำได้ เราจะมั่นใจได้อย่างไรว่าผู้ใช้ของเราจะใช้งานง่าย ในขณะที่เพิ่มประสิทธิภาพด้านไอที

บางสิ่ง:

การซ่อนไฟล์และโฟลเดอร์โดยไม่ได้รับอนุญาต:
หากต้องการซ่อนโฟลเดอร์ที่ผู้ใช้ไม่สามารถเข้าถึงได้ คุณสามารถเปิดใช้งาน "การแจงนับตามการเข้าถึง" ในการแชร์ ที่กล่าวว่าไม่แนะนำให้ทำเช่นนั้นเว้นแต่คุณจะมีข้อกำหนดที่เข้มงวด ABE อาจทำให้การใช้งาน CPU เพิ่มขึ้นอย่างมากในการแชร์ไฟล์ เนื่องจาก ACL ของไฟล์แต่ละไฟล์จำเป็นต้องได้รับการแจกแจงทุกครั้งที่มีการสำรวจไดเร็กทอรี

การเชื่อมโยง GPO กับไซต์ตรรกะ AD:
คุณสามารถประหยัดเวลาการประมวลผลการกำหนดลักษณะนโยบายกลุ่มได้โดยใช้ GPO สำหรับไดรฟ์ที่แมปโดยตรงกับไซต์แบบลอจิคัล Active Directory ของคุณ หากคุณมีไซต์ AD แบบลอจิคัลที่แสดงถึงตำแหน่งทางกายภาพแต่ละแห่ง (หมายเหตุ การดำเนินการนี้ต้องใช้คอนโซลการจัดการ AD Sites and Services หรือโมดูล AD PowerShell เพื่อแมปเครือข่ายย่อยไปยังไซต์เฉพาะ) ความท้าทายเดียวของแนวทางนี้คือผู้ใช้เพียงไม่กี่คนที่ต้องการเข้าถึงไซต์ที่ใช้ร่วมกันหลายไซต์ โดยไม่คำนึงว่าไซต์ใด พวกเขาอยู่ที่ ซึ่งสามารถทำได้โดยการสร้างความซ้ำซ้อนใน GPO เฉพาะไซต์สำหรับการแมปไดรฟ์ แต่อีกครั้ง...กลับมีประสิทธิภาพน้อยลง

กลับไปที่การตั้งค่านโยบายกลุ่ม:
ดูเหมือนว่าคุณมีความเข้าใจเริ่มต้นที่ดีเกี่ยวกับวิธีใช้การกำหนดเป้าหมายระดับรายการสำหรับงานนี้ นี่คือเลย์เอาต์ ILT ที่เป็นไปได้สำหรับสมมุติฐาน "แบ่งปัน 1" ที่ "ไซต์ A":

แก้ไข GPO และขยายผ่าน การกำหนดค่าผู้ใช้ > ค่ากำหนด > การตั้งค่า Windowsแล้วคลิกแผนที่ไดรฟ์

1. กำหนดการตั้งค่าแผนที่ไดรฟ์ทั่วไปของคุณสำหรับ แบ่งปัน 1 ที่ ไซต์ A.
2. ไปที่แท็บทั่วไป เปิดใช้งานการกำหนดเป้าหมายระดับรายการ และคลิกปุ่มการตั้งค่าการกำหนดเป้าหมาย...
3. ตอนนี้ คุณจะต้องการใช้ ILT หลายคอลเล็กชันเพื่อจัดกลุ่มเงื่อนไขการกำหนดเป้าหมาย จากสิ่งที่คุณอธิบาย ฉันจะสร้างบางสิ่งที่มีลักษณะดังนี้:

รายการและคอลเลกชัน ILT

1. เพิ่มคอลเลกชันที่ 'คอลเลกชันนี้เป็นจริง'

• เพิ่มเงื่อนไขที่ระบุว่า ผู้ใช้เป็นสมาชิกของกลุ่มความปลอดภัย "Site A"
• เพิ่มเงื่อนไข [และ] เว็บไซต์คือ "SiteA"

2. เพิ่มคอลเลกชันที่สอง (โดยที่คอลเลกชันนี้เป็นจริง) และตั้งค่าตัวเลือกรายการของคอลเลกชันเป็น หรือ

• ในคอลเล็กชันที่สอง ให้เพิ่มรายการเพื่อรวมผู้จัดการที่ต้องการสิทธิ์เข้าถึงการแชร์ไซต์หลายรายการ ใช้กลุ่มความปลอดภัยและตั้งค่ารายการเป็น `the user is a member of the security group "Site Managers" (สมมติว่ากลุ่มนี้มีสิทธิ์เข้าถึงหลายไซต์ที่ใช้ร่วมกัน

คลิกตกลงเพื่อบันทึกและปิดรายการแผนผังไดรฟ์ปัจจุบัน ตัวอย่างนี้สามารถแก้ปัญหาของคุณได้

การควบคุมการเข้าถึงแบบไดนามิก
คุณอาจต้องการตรวจสอบการใช้คุณลักษณะ Dynamic Access Control บนเซิร์ฟเวอร์ไฟล์ของคุณ คุณลักษณะนี้ทำให้ ACL (รายการควบคุมการเข้าถึง) บนระบบไฟล์มีประสิทธิภาพมากขึ้นโดยการเปิดใช้งานคุณลักษณะใหม่สองประการ:

• ความสามารถในการใช้ทั้งสองอย่าง หรือ และ และ ตัวดำเนินการใน ACL
• ความสามารถในการเพิ่มสิทธิ์ตามการอ้างสิทธิ์หรือเงื่อนไขในการอนุญาต การอ้างสิทธิ์อาจขึ้นอยู่กับวัตถุ 3 ประเภท ได้แก่ คุณลักษณะของผู้ใช้ คุณลักษณะของอุปกรณ์ หรือการอ้างสิทธิ์ในการเปลี่ยนแปลง (โดยทั่วไปมาจากกฎที่สร้างขึ้นในนโยบาย)

การอ้างสิทธิ์ของผู้ใช้และอุปกรณ์สามารถอิงตามแอตทริบิวต์ส่วนใหญ่ของผู้ใช้หรือออบเจ็กต์อุปกรณ์ใน AD ดังนั้นสมมุติฐานคุณอาจไปไกลถึงการสร้างกฎ DAC ที่ระบุว่า: ให้สิทธิ์การเข้าถึงแก่ผู้ใช้ หากพวกเขาอยู่ใน 'กลุ่ม A' และไม่ได้อยู่ในอุปกรณ์พกพา และถ้าพวกเขากำลังใช้คอมพิวเตอร์ที่อยู่ใน 'ไซต์ A' (ซึ่งจะขึ้นอยู่กับซับเน็ตที่อยู่ IP ที่แมปใน AD) นอกจากนี้ คุณยังสามารถใช้นโยบายการจัดประเภทข้อมูลเพื่อใช้กฎการควบคุมการเข้าถึงแบบไดนามิกที่แตกต่างกัน โดยขึ้นอยู่กับการอ้างสิทธิ์ของผู้ใช้หรืออุปกรณ์...แต่นั่นคือระดับถัดไป! ฉันอยากจะแนะนำให้ดูที่ DAC แต่เพิ่งรู้ว่ามีการอ้างอิงที่ซับซ้อนมากกว่าการทำงานผ่านการกำหนดค่าการกำหนดเป้าหมายระดับรายการที่ดี