ProHoster > Блог > Administrasi > Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Pranyata karmaku iki: ngleksanakake tugas sing baku kanthi cara sing ora sepele. Yen ana wong sing duwe visi sing beda babagan masalah kasebut, coba rembugan supaya masalah kasebut bisa dirampungake.

Ing sawijining esuk, ana tugas sing menarik kanggo nyebarake hak kanggo klompok pangguna kanggo macem-macem saham sing ngemot subfolder proyek kanthi folder dokumen. Kabeh apik lan skrip ditulis kanggo menehi hak menyang folder kasebut. Banjur ternyata klompok kasebut kudu ngemot pangguna saka macem-macem domain, saka alas sing beda-beda (kanggo sing lali apa iku). Sebutna share dhewe ana ing media Synology, kadhaptar ing domain FB alas PSI. Tugas: ngidini pangguna domain ing alas liyane duwe akses menyang isi bagean iki, lan banget selektif.

Sawise sawetara wektu, spesifikasi teknis njupuk formulir ing ngisor iki:

  • 2 alas: alas PSI, alas TG.

    Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

  • Saben alas nduweni 3 domain: PSI (ZG, PSI, FB); TG (TG, HU, KC).
  • Ana hubungan kepercayaan antarane alas; Synology ndeleng kabeh klompok Keamanan ing kabeh alas.
  • Enggo bareng lan folder/subfolder kudu duwe akun administrator domain FB kanthi hak FullControl
  • Jeneng folder kudu sistematis. Manajemen koordinasi ID proyek; Aku mutusake kanggo ngubungake jeneng grup Keamanan menyang ID proyek.
  • Folder proyek ing saham sistem kudu ngemot struktur sing disiapake sadurunge ing file .xlsx, kanthi hak istimewa akses sing cocog (R / RW / NA, ing ngendi NA - ora ana akses)

    Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

  • Sampeyan kudu bisa mbatesi hak pangguna / anggota klompok saka siji proyek mung kanggo direktori tartamtu saka proyek kasebut. Pangguna bisa uga ora nduweni akses menyang direktori/proyek liyane, gumantung saka anggota grup.
  • Nalika nggawe folder proyek, klompok kudu digawe kanthi otomatis ing domain sing cocog karo jeneng sing cocog karo ID proyek.

Cathetan kanggo spesifikasi teknis

  • Nggawe hubungan kepercayaan ora kalebu ing ruang lingkup spesifikasi teknis
  • ID proyek ngemot angka lan karakter Latin
  • Peran pangguna proyek kanggo kabeh domain duwe jeneng standar
  • File .xlsx karo folder lan hak akses (matriks akses) disiapake sadurunge wiwitan kabeh proyek
  • Nalika ngleksanakake proyek, sampeyan bisa nggawe grup pangguna ing domain sing cocog
  • Otomatisasi digayuh kanthi nggunakake alat administrasi MS Windows standar

Implementasi spesifikasi teknis

Sawise ngresmikake syarat kasebut, jeda taktis ditindakake kanggo nguji metode kanggo nggawe direktori lan menehi hak kanggo dheweke. Iki dimaksudake mung nggunakake PowerShell, supaya ora nggawe rumit proyek kasebut. Kaya sing dakcritakake sadurunge, algoritma skrip katon gampang:

  • kita ndhaftar grup karo jeneng asalé saka ID project (contone KC40587) lan peran sing cocog kasebut ing matriks akses: KC40587-EN- kanggo engineer; KC40587-PM - kanggo manajer produk, lsp.
  • kita entuk SID saka grup sing digawe
  • ndhaptar folder proyek lan set direktori sing cocog (dhaptar subfolder gumantung saka bagean sing digawe lan ditetepake ing matriks akses)
  • nemtokake hak kanggo grup kanggo subdirektori anyar proyek miturut matriks akses.

Kesulitan sing ditemoni ing tahap 1:

  • misunderstanding saka cara nemtokake matriks akses ing script (array multidimensi saiki dipun ginakaken, nanging path kanggo ngisi lagi digoleki adhedhasar isi file .xlsx / matriks akses)

    Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

  • ora bisa nyetel hak akses ing saham SMB ing drive synology nggunakake PoSH (https://social.technet.microsoft.com/Forums/en-US/3f1a949f-0919-46f1-9e10-89256cf07e65/error-using-setacl-on- nas -share?forum=winserverpowershell), amarga akeh wektu sing ilang lan kabeh kudu diadaptasi menyang skrip nggunakake sarana panyuntingan hak akses icacls, sing mbutuhake nggawe repositori perantara teks lan file cmd.

Ing mode saiki, eksekusi file cmd dikontrol kanthi manual, gumantung saka kabutuhan ndhaptar folder kanggo proyek kasebut.

Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Iku uga nguripake metu sing script uga kudu dileksanakake kanggo ndhaftar klompok ing alas liyane (istilah Cross-domain digunakake), lan rasio bisa ora mung 1 kanggo siji, nanging uga 1 kanggo akeh.

Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Iki tegese klompok saka lintas-domain liyane, kalebu alas tetanggan, saiki bisa ngaku akses menyang sumber daya domain apa wae. Kanggo entuk keseragaman, diputusake nggawe struktur simetris ing OU kabeh domain sing dilayani kabeh alas (oval vertikal ireng). Nalika padha ngomong, ing tentara kabeh kudu elek, nanging seragam:

Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Dadi, nalika ndhaptar proyek 80XXX ing domain TG, skrip dieksekusi:

1. nggawe OU sing cocog (oval horisontal abang) ing domain iki lan lintas-domain, yaiku, domain sing karyawan kudu nduweni akses menyang sumber daya iki.

2. ngisi OU kanthi klompok kanthi jeneng kaya -, ngendi:

  • SRC_ domain - lintas-domain sing karyawan bakal duwe akses menyang sumber daya domain DST
  • DST_domain - domain sing sumber daya, nyatane, akses kudu diwenehake, yaiku, supaya kabeh wis diwiwiti.
  • - nomer proyek
  • ROLES - jeneng peran sing kadhaptar ing matriks akses.

3. maca susunan SID kabeh klompok kabeh domain sing melu lan nyimpen kanggo transfer data sakteruse menyang file sing nemtokake hak kanggo subfolder proyek tartamtu

4. generasi file sumber (parameter / mulihake) karo pesawat saka hak kanggo nggunakake sarana icacKC ing mode file eksekusi "icacKC "as-nasNNKCProjects" / mulihake C: TempKCKC40XXKC40XX.txt "

5. nggawe file CMD sing nggabungke kabeh icacls dibukak kanggo kabeh folder project

Penetapan hak skala gedhe kanggo pangguna domain saka macem-macem alas

Kaya sing wis ditulis sadurunge, mbukak file sing bisa dieksekusi ditindakake kanthi manual lan evaluasi asil eksekusi uga ditindakake kanthi manual.

Kesulitan sing kudu kita hadapi ing pungkasan:

  • yen folder project wis kapenuhan nomer akeh file, banjur mbukak printah icacls ing volume ana bisa njupuk wektu owahan, lan ing sawetara kasus mimpin kanggo Gagal (contone, nalika ana path file dawa);
  • saliyane parameter / mulihake, kita kudu nambah garis karo parameter / reset ing kasus folder ora digawe, nanging ditransfer saka folder sing wis ana sadurunge, karo hak warisan saka ROOT dipatèni;
  • Bagéyan saka naskah kanggo nggawe grup kudu dieksekusi ing dc kasepakatan saben alas, masalah kasebut ana ing akun administratif kanggo saben wit.

Kesimpulan umum: aneh banget yen durung ana utilitas kanthi fungsi sing padha ing pasar. Kayane bisa ngetrapake fungsi sing padha adhedhasar portal Sharepoint.
Sampeyan uga ora bisa dingerteni manawa ora bisa nggunakake utilitas PoSH kanggo nyetel hak folder ing piranti sinology.

Yen dikarepake, aku siap nuduhake skrip kanthi nggawe sawetara proyek ing github yen ana sing kasengsem.

Source: www.habr.com

Add a comment