none
Dúvida A-G-DL-P RRS feed

  • Pergunta

  • Bom dia, hoje na Instituição possuímos uma estrutura de 500 usuários e estamos reestruturando as permissões baseado em A-G-DL-P, minha dúvida é a seguinte, segue abaixo estrutura de grupos criados.

                                GDL_IT_INFRA_READ

    GBL_IT_INFRA

                                GDL_IT_INFRA_WRITE

    pasta - IT_INFRA - sub pasta DADOS / VOZ 

    Configurei da seguinte maneira:

    IT_INFRA (membro de GBL_IT_INFRA) - DADOS (membro de GDL_IT_INFRA_WRITE)

    O Usuário em questão é membro de GDL_IT_INFRA_WRITE e não consegue ter permissão de escrita mesmo ticando a opção de MODIFICAR.



    • Editado Brayan Borgo quinta-feira, 18 de janeiro de 2018 17:26
    quinta-feira, 18 de janeiro de 2018 13:56

Respostas

  • Olá caro Brayan Borgo, tudo bem!

    Vamos abaixo passar alguns conceitos para melhor entendimento e resolução do problema:

    Vamos entender um pouco dessa imagem acima:

    Iniciamos pela fórmula: A -> G -> DL <- P

    A – Account: Conta de Usuário (Login);
    G – Grupo: Global (Serve para Organizar objetos do mesmo Domínio);
    DL – Grupo: Domínio Local (Serve para Organizar objetos do mesmo Domínio);
    P – Permissão: Onde o Administrador ou Pessoa delegada insere as permissões devidas a usuários ou grupos;
    Portanto, nesse exemplo da imagem acima vimos:
    1. Um usuário do RH, sendo inserido no grupo G_RH, esse grupo é justamente Global, que server para organizar os objetos (usuário, computadores ou outros grupos do mesmo domínio), onde a partir desse momento concentramos todos os usuários do RH em um único grupo específico;

    2. Onde esse mesmo grupo G_RH é inserido dentro do grupo G_ACESSO_OUTROS_RH_RWM ou G_ACESSO_RH_RWM, em um processo que chamamos de aninhamento de grupos, mas porque foram criados dois grupos globais para RH?, essa é uma questão muito importante em Administração de File Server em alto nível, porque quando precisamos agrupar usuários ou grupos, o ideal sempre é criar grupo globais para agrupar os recursos, sendo correspondenTE no seu label (nome), desta forma, estamos preparando o ambiente file server para acesso a sua pasta e todos os usuários, no caso, G_ACESSO_RH_RWM.
    E esse outro grupo G_ACESSO_OUTROS_RH_RWM, é para inserir outros grupos globais de outros departamentos, para acesso a pasta no caso RH, não misturando acessos e administração, assim, facilita inserirmos outros departamentos.
    Entendendo um pouco melhor essa nomenclatura de nomes, primeiro não é dogma o que estamos escrevendo aqui, mas simplesmente definindo um padrão prévio que pode ser utilizado. G_ACESSO_RH_RWM:
    • G – Grupo Global
    • ACESSO_RH – Acesso a pasta no File Server RH
    • R – Read (Leitura) \ W – Write (Escrita) \ M – Modify (Modificação)
    • Outros (De outros departamentos precisando ter acesso aos recursos de uma área específica)
    G – Grupo Global -> Com acesso a pasta RH no file server -> com permissão de Leitura, Escrita e Modificação.

    3. Em seguida, esse grupo G_ACESSO_RH_RWM é aninhado em outro grupo chamado DL_ACESSO_RH_FS_RWM. Onde depois de finalizado essa parte é realizado o processo de conceder a permissão (P).
    Acima tem maiores informações sobre grupos, mas o grupo DL (Domínio Local), server para aplicar permissões em recursos no mesmo domínio.
    Logo, para não inserirmos diversos grupos globais do mesmo domínio, ou de qualquer outro domínio na mesma ACL dos recursos do domínio, criamos um único DL na ACL dos recursos contido dentro dele diversos grupo globais, sejam eles do mesmo domínio ou de outros domínios.
    É na ACL dos recursos que trabalhamos compartilhamentos (Share), e níveis de Permissionamentos mais refinados (Security – NTFS);

    PONTO IMPORTANTE: SEMPRE QUE FOR UTILIZAR RECURSOS CRIAR GRUPOS COM LABELS ESPECÍFICOS E CONTAS ESPECÍFICAS, ISSO FACILITA EM SUA ADMINISTRAÇÃO, CONTROLE E EVITA PROBLEMAS MAIORES, COMO USAR SUA CONTA PARA ISSO E MISTURAR GRUPOS DE RECURSOS.

    Mais abaixo vamos explicar em detalhes uma construção de um File Server em alto nível, mas vamos antecipar do porque desse grupo:
    • DL_USUARIOS_FS
    Esse grupo é um dos grupos mais importantes dentro de um file server, e deve ser protegido pelo administrador, pelo simples motivo desse mesmo grupo estar aninhado com o grupo G_USUARIOS_FS, no qual está contido nesse grupo todos os grupos globais departamentais da empresa que acessam o File Server.
    Está intrínseco na imagem o grupo (G_USUARIOS_FS), mas já sabemos que para organizar recursos usamos o grupo global que é membro de DL_USUARIOS_FS.
    Mas retornando a importância desses Grupos (G_USUARIOS_FS - DL_USUARIOS_FS), o que estamos explicando é que qualquer mudança nesses grupos irão interferir diretamente no backbone principal de acesso dos departamentos da empresa, logo a proteção via ACL no grupo é fundamental e está compliance com as boas práticas de segurança de File Server.
    4. Finalmente chegamos a nível de permissionamento (P), onde no qual, aplicamos todos os níveis desejados nas abas: Share e Security, e principalmente somente em um único grupo DL, onde destacamos alguns pontos positivos nesse nível de configuração:
    - Maior performance na leitura tanto na ACL via Sistema, quanto na Comunicação via Active Directory, logo se você tiver um ambiente no compliance, tudo via usuários e não grupos no seu File Server a percepção para os usuários será bem maior de lentidão;
    - Administração mais complicada de gerenciar sem um fluxo de grupos;
    - Boas práticas é usar somente Grupos DL (Domínio Local), para aplicar Permissionamentos de recursos quaisquer;
    - Grupos Globais são para organizar usuários ou outros grupos globais;

    Acima foi uma explanação que também está em nosso ebook, que posto o link mais abaixo, assim um link de vídeo de configuração ao VIVO na prática.

    Portanto, em file server existem 02 configurações importantes: Aba Share e Aba Ntfs, caso configure em Share read, mesmo configurando Full Control, o mesmo ou o grupo terá a permissão de read.

    Segue abaixo os links:

    Ebook: O Guia de Bolso do Administrador de Rede Microsoft – Implementando e Administrando um File Server – Engenheiro Microsoft

    https://fabiofol.wordpress.com/2017/09/06/e-book-gratis-o-guia-de-bolso-do-administrador-de-rede-microsoft-implementando-e-administrando-um-file-server-engenheiro-microsoft/

    Vídeos ao VIVO na Prática na Formação:

    https://www.youtube.com/playlist?list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98

    Estamos à disposição.

    Grande abraço FOL!

    • Sugerido como Resposta FÁBIOFOL quinta-feira, 18 de janeiro de 2018 20:47
    • Marcado como Resposta Filipe B CastroModerator quarta-feira, 31 de janeiro de 2018 19:15
    quinta-feira, 18 de janeiro de 2018 20:47

Todas as Respostas

  • Olá caro Brayan Borgo, tudo bem!

    Vamos abaixo passar alguns conceitos para melhor entendimento e resolução do problema:

    Vamos entender um pouco dessa imagem acima:

    Iniciamos pela fórmula: A -> G -> DL <- P

    A – Account: Conta de Usuário (Login);
    G – Grupo: Global (Serve para Organizar objetos do mesmo Domínio);
    DL – Grupo: Domínio Local (Serve para Organizar objetos do mesmo Domínio);
    P – Permissão: Onde o Administrador ou Pessoa delegada insere as permissões devidas a usuários ou grupos;
    Portanto, nesse exemplo da imagem acima vimos:
    1. Um usuário do RH, sendo inserido no grupo G_RH, esse grupo é justamente Global, que server para organizar os objetos (usuário, computadores ou outros grupos do mesmo domínio), onde a partir desse momento concentramos todos os usuários do RH em um único grupo específico;

    2. Onde esse mesmo grupo G_RH é inserido dentro do grupo G_ACESSO_OUTROS_RH_RWM ou G_ACESSO_RH_RWM, em um processo que chamamos de aninhamento de grupos, mas porque foram criados dois grupos globais para RH?, essa é uma questão muito importante em Administração de File Server em alto nível, porque quando precisamos agrupar usuários ou grupos, o ideal sempre é criar grupo globais para agrupar os recursos, sendo correspondenTE no seu label (nome), desta forma, estamos preparando o ambiente file server para acesso a sua pasta e todos os usuários, no caso, G_ACESSO_RH_RWM.
    E esse outro grupo G_ACESSO_OUTROS_RH_RWM, é para inserir outros grupos globais de outros departamentos, para acesso a pasta no caso RH, não misturando acessos e administração, assim, facilita inserirmos outros departamentos.
    Entendendo um pouco melhor essa nomenclatura de nomes, primeiro não é dogma o que estamos escrevendo aqui, mas simplesmente definindo um padrão prévio que pode ser utilizado. G_ACESSO_RH_RWM:
    • G – Grupo Global
    • ACESSO_RH – Acesso a pasta no File Server RH
    • R – Read (Leitura) \ W – Write (Escrita) \ M – Modify (Modificação)
    • Outros (De outros departamentos precisando ter acesso aos recursos de uma área específica)
    G – Grupo Global -> Com acesso a pasta RH no file server -> com permissão de Leitura, Escrita e Modificação.

    3. Em seguida, esse grupo G_ACESSO_RH_RWM é aninhado em outro grupo chamado DL_ACESSO_RH_FS_RWM. Onde depois de finalizado essa parte é realizado o processo de conceder a permissão (P).
    Acima tem maiores informações sobre grupos, mas o grupo DL (Domínio Local), server para aplicar permissões em recursos no mesmo domínio.
    Logo, para não inserirmos diversos grupos globais do mesmo domínio, ou de qualquer outro domínio na mesma ACL dos recursos do domínio, criamos um único DL na ACL dos recursos contido dentro dele diversos grupo globais, sejam eles do mesmo domínio ou de outros domínios.
    É na ACL dos recursos que trabalhamos compartilhamentos (Share), e níveis de Permissionamentos mais refinados (Security – NTFS);

    PONTO IMPORTANTE: SEMPRE QUE FOR UTILIZAR RECURSOS CRIAR GRUPOS COM LABELS ESPECÍFICOS E CONTAS ESPECÍFICAS, ISSO FACILITA EM SUA ADMINISTRAÇÃO, CONTROLE E EVITA PROBLEMAS MAIORES, COMO USAR SUA CONTA PARA ISSO E MISTURAR GRUPOS DE RECURSOS.

    Mais abaixo vamos explicar em detalhes uma construção de um File Server em alto nível, mas vamos antecipar do porque desse grupo:
    • DL_USUARIOS_FS
    Esse grupo é um dos grupos mais importantes dentro de um file server, e deve ser protegido pelo administrador, pelo simples motivo desse mesmo grupo estar aninhado com o grupo G_USUARIOS_FS, no qual está contido nesse grupo todos os grupos globais departamentais da empresa que acessam o File Server.
    Está intrínseco na imagem o grupo (G_USUARIOS_FS), mas já sabemos que para organizar recursos usamos o grupo global que é membro de DL_USUARIOS_FS.
    Mas retornando a importância desses Grupos (G_USUARIOS_FS - DL_USUARIOS_FS), o que estamos explicando é que qualquer mudança nesses grupos irão interferir diretamente no backbone principal de acesso dos departamentos da empresa, logo a proteção via ACL no grupo é fundamental e está compliance com as boas práticas de segurança de File Server.
    4. Finalmente chegamos a nível de permissionamento (P), onde no qual, aplicamos todos os níveis desejados nas abas: Share e Security, e principalmente somente em um único grupo DL, onde destacamos alguns pontos positivos nesse nível de configuração:
    - Maior performance na leitura tanto na ACL via Sistema, quanto na Comunicação via Active Directory, logo se você tiver um ambiente no compliance, tudo via usuários e não grupos no seu File Server a percepção para os usuários será bem maior de lentidão;
    - Administração mais complicada de gerenciar sem um fluxo de grupos;
    - Boas práticas é usar somente Grupos DL (Domínio Local), para aplicar Permissionamentos de recursos quaisquer;
    - Grupos Globais são para organizar usuários ou outros grupos globais;

    Acima foi uma explanação que também está em nosso ebook, que posto o link mais abaixo, assim um link de vídeo de configuração ao VIVO na prática.

    Portanto, em file server existem 02 configurações importantes: Aba Share e Aba Ntfs, caso configure em Share read, mesmo configurando Full Control, o mesmo ou o grupo terá a permissão de read.

    Segue abaixo os links:

    Ebook: O Guia de Bolso do Administrador de Rede Microsoft – Implementando e Administrando um File Server – Engenheiro Microsoft

    https://fabiofol.wordpress.com/2017/09/06/e-book-gratis-o-guia-de-bolso-do-administrador-de-rede-microsoft-implementando-e-administrando-um-file-server-engenheiro-microsoft/

    Vídeos ao VIVO na Prática na Formação:

    https://www.youtube.com/playlist?list=PLDwiunGcJY_3WOwmcyQRbRan_AJERte98

    Estamos à disposição.

    Grande abraço FOL!

    • Sugerido como Resposta FÁBIOFOL quinta-feira, 18 de janeiro de 2018 20:47
    • Marcado como Resposta Filipe B CastroModerator quarta-feira, 31 de janeiro de 2018 19:15
    quinta-feira, 18 de janeiro de 2018 20:47
  • Boa tarde,

    Por falta de retorno essa thread está encerrada.

    Se necessário favor abrir uma nova thread.

    Atenciosamente,

    Filipe B de Castro

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    MSDN Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quarta-feira, 31 de janeiro de 2018 19:15
    Moderador
  • Fábio muito obrigado, ajudou muito.
    terça-feira, 3 de abril de 2018 13:13