組策略-較好的磁盤映射體驗

很久沒有寫了,慢慢開始吧.

我所在的公司在我接手的時候,對於共享的管理是很是混亂的,全部的權限直接經過用戶去控制.

這樣的使用方式雖然不會直接形成功能上的問題,可是在後期管理,整改的時候會形成很是大的麻煩.

最近參加了MCSE的培訓,微軟有一套關於權限管理的AGDLP原則,強烈建議你們遵循這個規則去作.

爲何寫磁盤映射的博文會從共享權限開始說呢?

只能說由於我本身深受其害,因此先說出來免得你們碰到跟我同樣的問題.並且接下來的說明也會根據用戶組來作.接下來進入正題吧.

 

·       環境說明:

兩臺虛擬機,環境需求比較簡單.

DC1:安裝ADDS角色,域集成的DNS區域.(其實還有個DHCP,但不在此作討論)

WIN7-1:加入域就能夠了.

·       情景:

TOM和JERRY是公司的兩位新入職的員工,TOM加入了HR部門,JERRY則加入了FIN部門.

這兩個部門分別有本身的部門共享HR$和FIN$,部門內的人員都須要鏈接到共享磁盤.

IT人員經過組策略的方式,根據部門的區別,在TOM和JERRY登陸系統時自動的映射本身部門的共享文件夾.

·       過程:

在域中新建組HR,FIN;新建用戶TOM加入HR組,新建用戶JERRY加入FIN組.

在DC1上創建HR$,FIN$兩個共享文件夾(在共享名後加上$能夠達到隱藏共享的效果,提升安全性.此例中加上$爲了跟HR和FIN組區分開不要形成誤解)

共享權限:EVERYONE徹底控制(實際訪問權限經過NTFS權限進行控制)

NTFS權限:HR$中加入HR組賦予徹底控制權限,FIN$中加入FIN組賦予徹底控制權限.

打開組策略管理器,新建一條組策略對象(GPO)就起名叫"磁盤映射"吧.

而後在如下位置新建映射驅動器

在新建驅動器屬性中進行操做

在常規選項卡的"操做"選擇替換,防止盤符被佔用而失敗的狀況.(實際環境中請根據本身的實際狀況進行選擇)

位置填寫共享文件夾的UNC路徑 \\dc1\hr$ (切記不要填D:\HR$這樣的本地路徑)

將從新鏈接後的勾打上,在後面輸入"人事部"

在後面的經常使用選項卡中勾上項目級別目標,而後在後面的目標中新建一個安全組的項目輸入HR組而後一路肯定

而後再按照上面的步驟新建映射驅動器鏈接FIN$共享,在項目中添加FIN組.最後結果以下圖.

以上策略就作完就完成基本的設置.由於經過項目目標控制,因此我是直接連接到域上,安全篩選中選擇Authenticated Users(AD的內置組,意思是經過驗證的用戶),固然實際使用中根據本身的狀況操做.

至此,咱們在AD的操做已經完成.去客戶端驗證一下吧.

咱們使用TOM帳戶在WIN7-1客戶端上登陸吧.

上圖中能夠看到,登陸後已經自動映射好了人事部的共享了.

一樣,咱們經過JERRY的賬號登陸,一樣也已經鏈接好了帳務部的共享了.

·       擴展:

在之後的使用當中,將用戶組及權限設置好之後,只須要在域賬號管理時,將用戶加入相應部門的組後,當用戶登陸時就能夠自動鏈接部門的共享了,提升了標準化的同時簡化了手動設置這樣繁瑣又無技術含量的事情,用更多的時間創造更多的價值.

 

備註:

1.知識點-AGDLP原則

2.知識點-UNC路徑

3.共享及NTFS權限須要根據本身的狀況去進行設置,使用EVERYONE在實際生產中是極不推薦的.但請確保相關的用戶能拿到相應的權限.