Gestione share con ABE

[cata81]

Chiedo lumi per capire quale sia il best practice da utilizzare in questi casi, ho creato il mio bel share condiviso e ho abilitato l'ABE, dentro lo share poniamo che ci siano le seguenti cartelle:

- Amministrazione
- Produzione
- Tecnico
- Magazzino

Ognuna con le permission NTFS assegnate al gruppo corretto per vedere solo le proprie cartelle, ora mettiamo che il gruppo Tecnico vuole che l'amministrazione veda dentro la cartella Tecnico una cartella e solo quella, la strada più veloce è condividere la cartelle dentro tecnico e dare le permission NTFS al gruppo amministrazione, ma vorrei evitare questa soluzione per non pasticciare con la propagazione delle permission NTFS e creare altri share inutili.

Esistono altre strade più "pulite" per gestire questo tipo di richieste?

[Dane]

Usa i gruppi innestati e i permessi NTFS, che vengono utilizzati SEMPRE, indifferentemente da come accedi.

Fai dei gruppi domain local che rappresentano l'azione, e dai i relativi permessi sulla cartella. Esempi:
FSACL_Amministrazione_Read
FSACL_Amministrazione_RW
FSACL_Ammministrazione_MangioEBevo

Poi metti dentro al gruppo FSACL_Amministrazione_RW il gruppo Amministrazione (global group). Dentro il gruppo FSACL_Admministrazione_Read il gruppo Tecnico (global group) e così via.
Questi gruppi devono rappresentare ruoli.

Dentro i gruppi Amministrazione o Tecnico ci metti gli utenti. In altre parole: gli utenti svolgono uno o più ruoli, e possono fare delle cose in base ai permessi non assegnati a loro o ai gruppi "ruoli", ma ai gruppi "azione" (FSACL).

Per le eccezioni metti (in casi estremi) l'utente nel gruppo FSACL_Qualcosa_Come. Non dare MAI i permessi ad un utente su una cartella.


La raccomandazione che ti posso dare è di farti dei tool per la creazione delle cartelle, che fanno:
- creano la cartella su un server a tua scelta
- mettono i permessi NTFS come sopra (FSACL_cosa_azione, FSACL_cosa_azione2, ....)
- creano una condivisione (direi con permessi a tutti, dato che vengono controllati a livello ntfs)
- linkano la condivisione su un namespace DFS, dove ci attivi anche abe.
- (eventualmente) mettono i gruppi ruoli dentro ai gruppi FSACL

In questa ottica i permessi andrebbero gestiti in maniera orizzontale piuttosto che verticale. Quindi otterresti tante cartelle sparse in uno o più server. A ciascuna corrisponderebbero dei propri permessi NTFS (che vanno dati ai gruppi FSACL) e una condivisione, linkata come ti serve nel namespace dfs.

Se riesci a militarizzare questa cosa:
- sarai in grado di dire nel giro di pochi istanti chi può fare cosa su un qualsiasi file (risolvi i gruppi cercando il memberof ricorsivamente)
- sarai in grado di dire nel giro di pochi istanti a che files ha accesso un dato utente (risolvi i gruppi cercando i members ricorsivamente)
- tutti gli utenti accederanno ai dati usando il namespace dfs. Se devi cambiare server spostarai i dati, cambierai la condivisione, ma basterà lasciare il collegamento al namespace dfs per rendere agli utenti trasparente il tutto

La via diventa veloce se prima hai ragionato correttamente e ti sei costruito bene gli script per automatizzare il tutto. A gestire a mano il tutto diventi scemo, sia che fai con RBAC (il sistema sopra descritto), sia che metti permessi come fosse prezzemolo.

[cata81]

Quote:

Originariamente inviato da Dane

Usa i gruppi innestati e i permessi NTFS, che vengono utilizzati SEMPRE, indifferentemente da come accedi.

Fai dei gruppi domain local che rappresentano l'azione, e dai i relativi permessi sulla cartella. Esempi:
FSACL_Amministrazione_Read
FSACL_Amministrazione_RW
FSACL_Ammministrazione_MangioEBevo

Poi metti dentro al gruppo FSACL_Amministrazione_RW il gruppo Amministrazione (global group). Dentro il gruppo FSACL_Admministrazione_Read il gruppo Tecnico (global group) e così via.
Questi gruppi devono rappresentare ruoli.

Dentro i gruppi Amministrazione o Tecnico ci metti gli utenti. In altre parole: gli utenti svolgono uno o più ruoli, e possono fare delle cose in base ai permessi non assegnati a loro o ai gruppi "ruoli", ma ai gruppi "azione" (FSACL).

Per le eccezioni metti (in casi estremi) l'utente nel gruppo FSACL_Qualcosa_Come. Non dare MAI i permessi ad un utente su una cartella.


La raccomandazione che ti posso dare è di farti dei tool per la creazione delle cartelle, che fanno:
- creano la cartella su un server a tua scelta
- mettono i permessi NTFS come sopra (FSACL_cosa_azione, FSACL_cosa_azione2, ....)
- creano una condivisione (direi con permessi a tutti, dato che vengono controllati a livello ntfs)
- linkano la condivisione su un namespace DFS, dove ci attivi anche abe.
- (eventualmente) mettono i gruppi ruoli dentro ai gruppi FSACL

In questa ottica i permessi andrebbero gestiti in maniera orizzontale piuttosto che verticale. Quindi otterresti tante cartelle sparse in uno o più server. A ciascuna corrisponderebbero dei propri permessi NTFS (che vanno dati ai gruppi FSACL) e una condivisione, linkata come ti serve nel namespace dfs.

Se riesci a militarizzare questa cosa:
- sarai in grado di dire nel giro di pochi istanti chi può fare cosa su un qualsiasi file (risolvi i gruppi cercando il memberof ricorsivamente)
- sarai in grado di dire nel giro di pochi istanti a che files ha accesso un dato utente (risolvi i gruppi cercando i members ricorsivamente)
- tutti gli utenti accederanno ai dati usando il namespace dfs. Se devi cambiare server spostarai i dati, cambierai la condivisione, ma basterà lasciare il collegamento al namespace dfs per rendere agli utenti trasparente il tutto

La via diventa veloce se prima hai ragionato correttamente e ti sei costruito bene gli script per automatizzare il tutto. A gestire a mano il tutto diventi scemo, sia che fai con RBAC (il sistema sopra descritto), sia che metti permessi come fosse prezzemolo.

Urka! grazie per l'input, è roba di alto livello ai limiti della mia comprensione , ho capito comunque il succo, cercherò di implementare ciò che mi hai detto, la situazione però non mi permette di perderci troppo tempo (ma credimi che vorrei starci dietro), il cliente non capirebbe e apprezzerebbe la finezza di questa soluzione, e la perdita di tempo che ci sarebbe dietro... meglio perdere poco tempo tante volte e far vedere che ogni volta si risolve il problema in tempi brevi

Grazie ancora

[Dane]

digli così, in genere funziona:

- siete in grado di dire chi ha accesso a cosa? (risolvi i memberof)
- siete in grado di dire chi ha accesso ad un certo file? (risolvi i members)
- se dovete aggiungere un utente all'organico aziendale, quanto tempo perdete per metterlo in condizione di lavorare? (lo aggiungi ai gruppi-ruolo)

Con due script diventa una questione di secondi ;-)

Il problema è che ti andranno 2-3 settimane per costruirli benino....