AFP共有のユーザー管理

私は、Mountain Lionを実行しているサーバーでAFP共有を設定する仕事をしました。私の質問は、主にベストプラクティスに関するものであり、これを正しく行っているかどうかを確認することです。私の以前の経験は、ほとんどがLinuxに焦点を合わせた（非常に）基本的なNFSおよびSMB共有でした。

状況は次のとおりです。

（開始するには）共有のさまざまな部分にアクセスする必要がある約7または8人のユーザーが存在します。基本的に2つのアクセスレベルが必要です（今のところ）。すべてにアクセスできるもの（管理者）と、すべてのサブセットにしかアクセスできないもの。かなり標準的ですか？

共有ダイアログで、共有フォルダーを追加し、特定の共有にユーザーを追加できます。そのため、共有を作成し、2人または3人のすべての管理ユーザーをすべての共有に追加し、残りのユーザーをアクセスが必要な特定の共有に追加しました。UIは本質的に何も公開していないようですが、共有フォルダーとは無関係にユーザーを管理できますか？別の言い方をすれば、フォルダを特定のグループに属するものとしてマークし、その特定の共有へのアクセスを許可するためにそのグループにユーザーを割り当てることはできますか？

ベストプラクティスに関する私の推奨事項は、Server.app（App Storeで20ドル）を使用してファイル共有を実行することです。Server.appを使用する利点は、より高度なファイル共有構成をサポートすることです。たとえば、[システム設定]-> [共有]で、グループアクセスのさまざまなフォルダにACL（アクセス制御リスト-権限のリスト）を設定できます。ただし、デフォルトではこれらのACE（アクセス制御エントリ-ACL内の単一の許可エントリ）権限の継承をサポートしません。アクセス許可の継承により、共有ポイントにファイルのアクセス許可が正しく設定されます（グループ全体が読み取り/書き込みアクセスを継続できるように）。グループの1人のユーザーが共有にファイルを書き込み、別のユーザーがそれを変更しようとすると、継承の不在が問題になります-デフォルトでは、共有のルートで読み取り/書き込みを指定するACLには、アクセス許可が継承されません子孫のファイル/フォルダー

通常、共有ポイントのアクセス許可を管理する最良の方法は、グループを作成して管理することです。これにより、共有ポイントにアクセス許可を設定して、フォルダ/共有へのグループアクセスを許可できます。これにより、ユーザーをグループに追加するだけで、将来その共有へのアクセスをユーザーに簡単に提供できます。たとえば、ほとんどの「通常」ユーザー（「admin」ユーザーを含む）は、汎用共有（または前述のすべての共有）へのアクセスを許可されたグループの一部である必要があります。「管理者」ユーザーは、他の「制限された」共有ポイントにアクセスできるグループの一部になります。これらの各グループをServer.app-> File Sharingのエントリ（ACE）として設定すると、アクセス許可の継承が発生します。

システム環境設定->ファイル共有設定を使用してファイルを提供する場合は、システム環境設定->ユーザーとグループを使用して、アクセスを制御するグループを作成することをお勧めします。ただし、今後どこかでアクセス許可の問題が発生する可能性があることに注意してください。

chmodコマンドラインで使用して、継承をサポートするACLを指定できますが、一部のユーザーにとっては少し面倒です。