Atualmente estou trabalhando com permissões em arquivos na rede com Windows Server 2012 Active Directory da seguinte forma: Eu configuro um controlador de domínio, no controlador de domínio crio usuários e grupos. Depois disso, seleciono uma pasta para compartilhar e nas opções de compartilhamento adiciono todos com acesso de leitura/gravação (faço isso porque me disseram que fazer diferente dá problemas).
Em seguida, nas subpastas, para restringir o acesso, vou na guia de segurança das propriedades das pastas e adiciono grupos que desejo negar acesso e negar permissões de leitura/gravação.
Tudo bem, no entanto, estou achando que essa não é uma boa abordagem. De fato, se os grupos são adicionados constantemente e uma pasta deve ser acessada apenas por um grupo, sempre precisarei adicionar os novos e negar o acesso a eles.
Um cenário da vida real em que isso pode ocorrer é o seguinte: uma empresa possui pastas para projetos, cada projeto possui determinados subconjuntos de funcionários trabalhando nele. Então, eles criam um grupo para cada projeto e, na pasta do projeto, apenas o grupo desse projeto específico deve ter acesso. Se novos projetos forem adicionados, será necessário adicionar o novo grupo em cada pasta de projeto e isso pode ser tedioso.
Então, como negar o acesso a arquivos e pastas de forma mais eficaz sem ter que editar as opções de segurança quando novos grupos são adicionados?
Por que você está usando negar ACEs? Você deve estar fazendo algo assim:
E assim por diante. Você não deve usar negar ACEs regularmente. Nos últimos 10 anos, posso pensar em talvez 3 vezes em que usei uma negação em uma ACL NTFS.