Права доступа на файловом сервере в доменной среде

Постараюсь сформулировать набор общих правил/рекомендаций/тезисов по организации прав доступа на файловом сервере в доменной среде на серверах Windows Server 2012 R2, основываясь на собственном опыте и наблюдениях:

  1. На файловом сервере не устанавливаем никаких ролей и служб, кроме роли файлового сервера. Чем чище — тем лучше. Организовываем репликацию данных на другой файловый сервер, резервное копирование данных на backup-сервер, мониторинг/аудит/скрипты и все… RDP-доступ должен быть только у администраторов, не надо разворачивать терминальный сервер, устанавливать клиентское ПО и пускать на сервер пользователей.
  2. Доступ к данным для пользователей осуществляется посредством предоставления общего доступа к корневой папке (на мой взгляд, в идеале «расшаривается» только одна корневая папка). Нет смысла публиковать несколько папок, находящихся на одном диске и на одном уровне иерархии, так как все замечательно «рулится» правами доступа на вкладке «Безопасность» и опцией «Включить перечисление на основе доступа» (Access Based Enumeration или ABE) — папки, к которым нет доступа, не будут отображаться. На серверах Windows Server 2012 R2 опция ABE находится здесь:fs01Имеет смысл «расшаривать» несколько папок в следующих случаях: Читать далее Права доступа на файловом сервере в доменной среде