组策略-较好的磁盘映射体验

很久没有写了,慢慢开始吧.

我所在的公司在我接手的时候,对于共享的管理是很是混乱的,全部的权限直接经过用户去控制.

这样的使用方式虽然不会直接形成功能上的问题,可是在后期管理,整改的时候会形成很是大的麻烦.

最近参加了MCSE的培训,微软有一套关于权限管理的AGDLP原则,强烈建议你们遵循这个规则去作.

为何写磁盘映射的博文会从共享权限开始说呢?

只能说由于我本身深受其害,因此先说出来免得你们碰到跟我同样的问题.并且接下来的说明也会根据用户组来作.接下来进入正题吧.

 

·       环境说明:

两台虚拟机,环境需求比较简单.

DC1:安装ADDS角色,域集成的DNS区域.(其实还有个DHCP,但不在此作讨论)

WIN7-1:加入域就能够了.

·       情景:

TOM和JERRY是公司的两位新入职的员工,TOM加入了HR部门,JERRY则加入了FIN部门.

这两个部门分别有本身的部门共享HR$和FIN$,部门内的人员都须要链接到共享磁盘.

IT人员经过组策略的方式,根据部门的区别,在TOM和JERRY登陆系统时自动的映射本身部门的共享文件夹.

·       过程:

在域中新建组HR,FIN;新建用户TOM加入HR组,新建用户JERRY加入FIN组.

在DC1上创建HR$,FIN$两个共享文件夹(在共享名后加上$能够达到隐藏共享的效果,提升安全性.此例中加上$为了跟HR和FIN组区分开不要形成误解)

共享权限:EVERYONE彻底控制(实际访问权限经过NTFS权限进行控制)

NTFS权限:HR$中加入HR组赋予彻底控制权限,FIN$中加入FIN组赋予彻底控制权限.

打开组策略管理器,新建一条组策略对象(GPO)就起名叫"磁盘映射"吧.

而后在如下位置新建映射驱动器

在新建驱动器属性中进行操做

在常规选项卡的"操做"选择替换,防止盘符被占用而失败的状况.(实际环境中请根据本身的实际状况进行选择)

位置填写共享文件夹的UNC路径 \\dc1\hr$ (切记不要填D:\HR$这样的本地路径)

将从新链接后的勾打上,在后面输入"人事部"

在后面的经常使用选项卡中勾上项目级别目标,而后在后面的目标中新建一个安全组的项目输入HR组而后一路肯定

而后再按照上面的步骤新建映射驱动器链接FIN$共享,在项目中添加FIN组.最后结果以下图.

以上策略就作完就完成基本的设置.由于经过项目目标控制,因此我是直接连接到域上,安全筛选中选择Authenticated Users(AD的内置组,意思是经过验证的用户),固然实际使用中根据本身的状况操做.

至此,咱们在AD的操做已经完成.去客户端验证一下吧.

咱们使用TOM帐户在WIN7-1客户端上登陆吧.

上图中能够看到,登陆后已经自动映射好了人事部的共享了.

一样,咱们经过JERRY的账号登陆,一样也已经链接好了帐务部的共享了.

·       扩展:

在之后的使用当中,将用户组及权限设置好之后,只须要在域账号管理时,将用户加入相应部门的组后,当用户登陆时就能够自动链接部门的共享了,提升了标准化的同时简化了手动设置这样繁琐又无技术含量的事情,用更多的时间创造更多的价值.

 

备注:

1.知识点-AGDLP原则

2.知识点-UNC路径

3.共享及NTFS权限须要根据本身的状况去进行设置,使用EVERYONE在实际生产中是极不推荐的.但请确保相关的用户能拿到相应的权限.