De strategie deelt het uitdelen van permissies op in enkele eenvoudige stappen.
Stap 1 tot en met stap 3 voer je uit in Active Directory Users and Computers.
Stap 1: Accounts: Maak users aan en zet deze in de bijhorende OU’s.
Stap 2: Global Groups: Maak afdelingen aan onder de vorm van Global Groups. Koppel de user accounts uit stap 1 aan de juiste afdelingen. De naamgeving aan een Global Group start je best met “GG_” Bijvoorbeeld: GG_ACCOUNTING
Opmerking: Een user kan van meerdere afdelingen gelijk lid zijn en erft hiervan ook de permissies. Zie het als een extra sleutel aan zijn sleutelbos.
Stap 3: Domain Local: Deze group gebruik je om aan te duiden over welke resource en welk type permissie het gaat. Als er bijvoorbeeld een file share is die door sommige afdelingen enkel gelezen mag worden en andere afdelingen er ook wijzigingen in mogen aanbrengen, maak je hiervoor telkens een aparte Domain Local Group aan.
De naamgeving van een Domain Local group start je best met “DL_” Bijvoorbeeld: DL_Fileshare_Read DL_Fileshare_Write DL_Fileshare_Deny
Koppel hierna de Global Groups (afdelingen) aan de juiste Domain Local groups zodat ze de juiste permissies zullen ontvangen.
Stap 4: Permissions: Deze stap voer je niet uit in Active directory, maar in de eigenschappen van je resource. Je koppelt in het security tabblad de toepasselijke Domain Local groups en geef deze de juiste rechten.
Als je hierna inlogt met een user uit een bepaalde afdeling, zou je kunnen vaststellen wat deze wel en niet mag! Steeds controleren!
Nota (als je het nu nog niet snapt is dit niet zo erg, we gaan stap per stap alles overlopen met voorbeelden en bijhorende screenshots)