ユーザーからのパーミッションリクエストは、全体を理解してというよりも、その時々の要件でばらばらにくる。同じ部署からでもAさんからもBさんからもCさんからも来る上に、それぞれの要件が矛盾しているときもある。同じ部署なのだからお互いに話し合ってからリクエストを上げればよいという考えるが、まったく無干渉でこちらに話を持ってきていることが多々ある。ひどいときには仲がわるいから話したくない、ITでまとめておいてということもある。
このような環境でユーザーのリクエストに従ってフォルダを作り、パーミッションの割り振っていけば当然のことながら構造はぐちゃぐちゃ、管理はできなくなる。手間がかかるということはミスが出る機会も増えるということである。
ユーザーは自分たちが上げたいい加減なリクエストは考慮することなくITの責任をこれでもかと責めるだろう。いや確かにIT側にも責任はある。それはミスをしたことではなく、ミスをするような環境を作り出したということだ。
ユーザー側にリクエストを押し返すにあたってはルールが便利だ。ルールがあります。これに従う必要があるのであなたのリクエストを受け入れることができません、ごめんなさい。不思議なことだがこれでユーザーがリクエストを抑えることができる。ルールに対して挑戦してくるユーザーはまずいない。まあユーザーがルールを破りたいということであれば、対応があるのだが。
さてフォルダ構造およびパーミッションの設定についてルールを作りたいと思い、探してみたところ以下のようなルールが見つかった。なかなか便利なので、これを改変して使ってみる。
Rule
Whenever possible, assign object permissions to groups of users rather than individual users.
Design group permissions so that you have a minimum of duplication.
Manage permissions globally from the ACL window.
Allow inheritance: do not orphan sections of the tree.
Keep a log of every unusual change that you have made to the tree, especially when you have orphaned sections of it or applied special rights to certain users.
http://etutorials.org/Server+Administration/Active+directory/Part+II+Designing+an+Active+Directory+Infrastructure/Chapter+11.+Active+Directory+Security+Permissions+and+Auditing/11.3+Designing+Permission+Schemes/
1についてはいうまでもない。個人に割り当てればいつかは破たんする。また操作もフォルダをいじるためにフォルダの誤った削除や設定している他の人のパーミッションなどをいじってしまう可能性がある。
2はわかりにくいがAフォルダとBフォルダで同じパーミッションを持っている場合にはまとめてインヘリタンスで設定すべきということだ。よってこの場合にはXフォルダを用意してパーミッションを設定する。A・BフォルダをXフォルダの下に移動してパーミッションをXから引き継げばよい。
4は2の継続である。ツリーの中でパーミッションが途切れると探しにくい。半年後には設定したパーミッションの内容を忘れてしまうので何が起きても不思議はない。担当者が変わった瞬間に爆発する地雷だ。
5はログに残すことだ。これが厄介だ。幸いWindowsにはイベントログに残す仕組みがあるのでこれを利用するか。
