好久没有写了,慢慢开始吧.

我所在的公司在我接手的时候,对于共享的管理是非常混乱的,所有的权限直接通过用户去控制.

这样的使用方式虽然不会直接造成功能上的问题,但是在后期管理,整改的时候会造成非常大的麻烦.

最近参加了MCSE的培训,微软有一套关于权限管理的AGDLP原则,强烈建议大家遵循这个规则去做.

为什么写磁盘映射的博文会从共享权限开始说呢?

只能说因为我自己深受其害,所以先说出来省得大家碰到跟我一样的问题.而且接下来的说明也会根据用户组来做.接下来进入正题吧.

 

·       环境说明:

两台虚拟机,环境需求比较简单.

DC1:安装ADDS角色,域集成的DNS区域.(其实还有个DHCP,但不在此做讨论)

WIN7-1:加入域就可以了.

·       情景:

TOMJERRY是公司的两位新入职的员工,TOM加入了HR部门,JERRY则加入了FIN部门.

这两个部门分别有自己的部门共享HR$FIN$,部门内的人员都需要连接到共享磁盘.

IT人员通过组策略的方式,根据部门的区别,TOMJERRY登录系统时自动的映射自己部门的共享文件夹.

·       过程:

在域中新建组HR,FIN;新建用户TOM加入HR,新建用户JERRY加入FIN.

DC1上建立HR$,FIN$两个共享文件夹(在共享名后加上$可以达到隐藏共享的效果,提高安全性.此例中加上$为了跟HRFIN组区分开不要造成误解)

共享权限:EVERYONE完全控制(实际访问权限通过NTFS权限进行控制)

NTFS权限:HR$中加入HR组赋予完全控制权限,FIN$中加入FIN组赋予完全控制权限.

打开组策略管理器,新建一条组策略对象(GPO)就起名叫"磁盘映射".

然后在以下位置新建映射驱动器

在新建驱动器属性中进行操作

在常规选项卡的"操作"选择替换,防止盘符被占用而失败的情况.(实际环境中请根据自己的实际情况进行选择)

位置填写共享文件夹的UNC路径 \\dc1\hr$ (切记不要填D:\HR$这样的本地路径)

将重新连接后的勾打上,在后面输入"人事部"

在后面的常用选项卡中勾上项目级别目标,然后在后面的目标中新建一个安全组的项目输入HR组然后一路确定

然后再按照上面的步骤新建映射驱动器连接FIN$共享,在项目中添加FIN.最后结果如下图.

以上策略就做完就完成基本的设置.因为通过项目目标控制,所以我是直接链接到域上,安全筛选中选择Authenticated Users(AD的内置组,意思是通过验证的用户),当然实际使用中根据自己的情况操作.

至此,我们在AD的操作已经完成.去客户端验证一下吧.

我们使用TOM账户在WIN7-1客户端上登录吧.

上图中可以看到,登录后已经自动映射好了人事部的共享了.

同样,我们通过JERRY的帐号登录,同样也已经连接好了账务部的共享了.

·       扩展:

在以后的使用当中,将用户组及权限设置好以后,只需要在域帐号管理时,将用户加入相应部门的组后,当用户登录时就可以自动连接部门的共享了,提高了标准化的同时简化了手动设置这样繁琐又无技术含量的事情,用更多的时间创造更多的价值.

 

备注:

1.知识点-AGDLP原则

2.知识点-UNC路径

3.共享及NTFS权限需要根据自己的情况去进行设置,使用EVERYONE在实际生产中是极不推荐的.但请确保相关的用户能拿到相应的权限.