Tạo cái nào trước cũng được, nhưng nên lên kế hoạch tạo group trước, thì sau này triển khai, hoặc cài đặt bảo mật bạn sẽ thấy được "vấn đề" của việc phân quyền trong hệ thống windows.
Việc xây dựng group trước sau này xử lý cũng rất nhanh, ví dụ chị Lê Văn Tèo hy sinh thân mình, được lên làm Trưởng phòng thì chỉ cần vào add thêm cái group Truong Phòng cho chị ta, hoặc ai bị hạ cấp cũng làm tương tự...
Ví dụ cơ quan của bạn khoảng 200 nhân sự, gồm 5, 6 phòng ban,... thì chia ra các group như:
- KyThuat (group này chuyên kỹ thuật, admin, set full control),
- group_BGD (thật ra group BGD nên cài quyền thấp nhất, vì các vị này hay để máy dễ bị sử dụng lén nhất, và nếu set quyền cao thì ai đó vào bằng tài khoản của BGD mà nó phá thì có kêu trời. Cái nữa là BGD chẳng mấy ai nhiều thời gian mò mẫm, có việc thì đã chỉ đạo bằng miệng hay văn bản xuống văn thư rồi, nên cài cho mấy ông ở Ban Giám đốc này quyền full ở thư mục của ông ta, và chỉ thấy thư mục đó thôi)
- group_TruongPhong: Các ông ở trưởng phòng sẽ vào được folder của phòng ban mình và folder con, nhưng ko vào ngó nghiêng folder của phòng ban khác được
- group_NhanVien... : toàn quyền với văn bản của mình, có thể xem văn bản của nhân viên khác cùng folder nhưng ko thể chỉnh sửa được (cài cái này là cái hay nhất trong Policy nè
)
- Group_Khach...
- group.....
XÓA dữ liệu ko đáng sợ, vì các chương trình backup có thể nhận ra ngay, hoặc bản thân nhân viên mỗi ngày vào sẽ biết thiếu file nào ko. Còn mà nó ghét nhau nó vào nó sửa lại thành trắng xóa mới khốn khổ, hoặc nó copy 1 đống kí tự vô nghĩa để đảm bảo file tiền lương chẳng hạn, có dung lượng như cũ, thì lúc đó mới đáng sợ.
Cái này nâng cao thì cần sử dụng thêm Event Viewer thành thạo để truy ngược các phiên làm việc, và phải demo dằn mặt ngay từ trong trứng ai có ý tưởng phá, nghịch (hầu như cơ quan nào cũng có mấy ông trẻ trẻ thích nắn gân IT
)
Xin lỗi mình hôm nay mới online.
Việc bạn mô tả là do tất cả máy trong chỗ bạn đều dùng tài khoản mặc định rồi (administrator, pass 123 hay gì gì đó - cái này thường cài bằng ghost là gặp nè)
Giả sử máy user A lúc đó đang logon bằng Admin/123, thì khi nó connect vào file server bằng session đó, nó sẽ gửi 1 cái thẻ cho thằng gác cửa : Tao là Admin/123 nè - Thằng gác xem lại trong list và ồ lên: Chời, sếp mà em cứ tưởng ai, mời sếp vào. Khổ nỗi thằng gác nó bị mù nên nó chỉ rờ chữ nổi trên cái session đó.
Để giải quyết thì tới từng máy, tạo tài khoản theo tên từng người cho dễ quản lý, cài đặt mật khẩu, rồi ghi chú lại cẩn thận danh sách đó. Sau đó xóa cái tài khoản mặc định hoặc ẩn nó đi hoặc đổi pass để chỉ mình IT biết, buộc người dùng bật máy lên phải logon vào tài khoản của mình (control userpasswords2)
Về file server, tạo user và nhét vào group tương ứng. Thế là từ đó bà A truy cập thì sẽ vào bằng session A, thằng gác cổng nó sẽ xem danh sách coi bà A có quyền gì rồi sắp chỗ ngồi cho bà ta, tương tự với các máy khác và nhân viên khác.