Расскажу как подобная система реализована у нас.
Имеем следующую структуру:
- Пользователи одного отдела имеют общую папку отдела
- Пользователи имеют личную папку
- Пользователи имеют папку с общей информацией по компании
- Пользователи имеют папку для обмена информацией между отделами
- Пользователи имеют папку общих проектов
Изначально все было относительно просто, папки отделов, папка обмена и папка общей информации.
Реализовывали следующим образом: Была группа с названием Map_Resources, в нее включались пользователи которым нужно было мапить ресурсы. Была аналогичная политика Map_Resources в которой были настроены примапленные ресурсы, нацеливание было на группу Map_Resources. Параметры политики "Конфигурация пользователя-Настройки-Конфигурация Windows-Ярлыки", создавали элемент ярлык с параметрами:
Действие "создать"
Имя Ресурсы\<Название отдела>
Тип объекта: Файловая система
Размещение: Рабочий стол
Путь: на шару
Выполнение в контексте безопасности вошедшего пользователя
В нацеливании на уровень элемента указывали группу конкретного отдела (и дополнительные группы/пользователей из числа дирекции)
В итоге у пользователя вошедшего в систему и включенного в группу Map_Resources папка на рабочем столе создается папка "Ресурсы" в котором уже находятся ярлык на расшареную папку отдела.
Аналогично добавлялась папка с общей информацией и папка обмена, но уже для всей группы Map_Resources. Шары как диски не мапим, это опаска осталась из прошлого, когда шифровальшики могли шифровать примапленые диски на нем. Ярлыки они шифровали как объект, все что за ярлыком оставалось целым.
В политике было ярлыков 15, все прекрасно работало до тех пор пока людям не понадобились личные папки и людям с разных отделов не пришлось работать с одним проектом. Часть документов жило в шарике и сотрудники прекрасно с ними работали, но в проектах была статическая или редко меняющаяся часть документации которая занимает десятки и сотни гигабайт. Поэтому было принято решение создать папку "Projects". Создавать и мапить это как раньше не было смысла так как на выходе в политике был бы вагон папок, да и собственно к этому времени мы пришли к обновлению ФС с 2008 на 2019 и созданию FO кластера.
Как это выглядит сейчас:Группы перекачевали, политика также осталась, просто в нее добавились ярлыки на шару Projects и UserDir, ещё добавились архивные данные (зеркало структуры ФС, но уже не используемое в оперативной работе и имеющее права только для чтения с сохранением модели доступа)
Шары мы создаем c использованием ABE. Папки внутри Progects и UserDir создаются руками админами (конечно не верх кашенрности, но это подконтрольно и всегда знаешь с кого спросить, если беда с правами) Также сейчас назревает проблема с количеством групп доступа к ресурсам, так как их число растет. В будущем надо будет что-то кардинально менять именно со структурой хранения и доступа.
Из опыта могу сказть, что к OU лучше не привязываться, нацеливание делайте всегда на группы, это как минимум удобнее в ориентации. По мапингу диска, тоже весьма спорно, да - для пользователя это удобно, но я не маплю диски с шарами даже себе =))