好久没有写了,慢慢开始吧.
我所在的公司在我接手的时候,对于共享的管理是非常混乱的,所有的权限直接通过用户去控制.
这样的使用方式虽然不会直接造成功能上的问题,但是在后期管理,整改的时候会造成非常大的麻烦.
最近参加了MCSE的培训,微软有一套关于权限管理的AGDLP原则,强烈建议大家遵循这个规则去做.
为什么写磁盘映射的博文会从共享权限开始说呢?
只能说因为我自己深受其害,所以先说出来省得大家碰到跟我一样的问题.而且接下来的说明也会根据用户组来做.接下来进入正题吧.
・ 环境说明:
两台虚拟机,环境需求比较简单.
DC1:安装ADDS角色,域集成的DNS区域.(其实还有个DHCP,但不在此做讨论)
WIN7-1:加入域就可以了.
・ 情景:
TOM和JERRY是公司的两位新入职的员工,TOM加入了HR部门,JERRY则加入了FIN部门.
这两个部门分别有自己的部门共享HR$和FIN$,部门内的人员都需要连接到共享磁盘.
IT人员通过组策略的方式,根据部门的区别,在TOM和JERRY登录系统时自动的映射自己部门的共享文件夹.
・ 过程:
在域中新建组HR,FIN;新建用户TOM加入HR组,新建用户JERRY加入FIN组.
在DC1上建立HR$,FIN$两个共享文件夹(在共享名后加上$可以达到隐藏共享的效果,提高安全性.此例中加上$为了跟HR和FIN组区分开不要造成误解)
共享权限:EVERYONE完全控制(实际访问权限通过NTFS权限进行控制)
NTFS权限:HR$中加入HR组赋予完全控制权限,FIN$中加入FIN组赋予完全控制权限.
打开组策略管理器,新建一条组策略对象(GPO)就起名叫"磁盘映射"吧.
然后在以下位置新建映射驱动器
在新建驱动器属性中进行操作
在常规选项卡的"操作"选择替换,防止盘符被占用而失败的情况.(实际环境中请根据自己的实际情况进行选择)
位置填写共享文件夹的UNC路径 \\dc1\hr$ (切记不要填D:\HR$这样的本地路径)
将重新连接后的勾打上,在后面输入"人事部"
在后面的常用选项卡中勾上项目级别目标,然后在后面的目标中新建一个安全组的项目输入HR组然后一路确定
然后再按照上面的步骤新建映射驱动器连接FIN$共享,在项目中添加FIN组.最后结果如下图.
以上策略就做完就完成基本的设置.因为通过项目目标控制,所以我是直接链接到域上,安全筛选中选择Authenticated Users(AD的内置组,意思是通过验证的用户),当然实际使用中根据自己的情况操作.
至此,我们在AD的操作已经完成.去客户端验证一下吧.
我们使用TOM账户在WIN7-1客户端上登录吧.
上图中可以看到,登录后已经自动映射好了人事部的共享了.
同样,我们通过JERRY的帐号登录,同样也已经连接好了账务部的共享了.
・ 扩展:
在以后的使用当中,将用户组及权限设置好以后,只需要在域帐号管理时,将用户加入相应部门的组后,当用户登录时就可以自动连接部门的共享了,提高了标准化的同时简化了手动设置这样繁琐又无技术含量的事情,用更多的时间创造更多的价值.
备注:
1.知识点-AGDLP原则
2.知识点-UNC路径
3.共享及NTFS权限需要根据自己的情况去进行设置,使用EVERYONE在实际生产中是极不推荐的.但请确保相关的用户能拿到相应的权限.