Jump to content

Sicherheitseinstellungen/ Erweiterte Sicherheitseinstellungen

ajuranah

Von ajuranah
in Active Directory Forum

Direkt zur Lösung Gelöst von Kevin Flynn,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

ajuranah Contributor

ajuranah   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Vielleicht muss der Neuling ja mal über seine Vorstellungen nachdenken und sich erstmal umsehen und -hören, oder gehst du auch immer in andere Lokalitäten und erklärst den "einheimischen" was richtig ist?

Hä? Verstehe nicht was du meinst...ich komme doch nicht her, um den "einheimischen" zu vermitteln, was richtig ist, oder das hier irgendwas falsch läuft oder sowas...ganz im Gegenteil: Das Forum hier ist super! Genau das richtige Board, um Fragen zu Windows-Server, das AD und den Gruppenrichtlinien zu stellen...mit AD kenne ich mich schon gut aus, der Rest da bin ich noch absoluter Anfänger und es tut mir leid, wenn ich die ein oder andere Antwort hier nicht gleich so verstanden habe, wie ich sie aus deiner Sicht evtl. hätte verstehen können.  Ist das schlimm?

 

Deswegen spricht man ja drüber und diskutiert das aus. Ich bin ein Typ, der gern direkt ist, aber ohne es in irgend ner Form böse zu meinen oder sowas...alles gut? :)

Meine persönliche (ehrliche) Meinung zum Supportgedanken: Also ich find ja, das es beim sich gegenseitig unterstützen nicht immer nur auf diejenigen ankommt, die etwas nicht verstehen und daher Fragen an die Wissenden stellen, sondern es kommt doch auch auf diejenigen an, die etwas Wissen weitergeben wollen, um denjenigen bei seiner Wissenslücke die er hat zu helfen. Also wenn die Hilfe eben so ist, dass man ein Feature namentlich benennt und den Rest muss man dann selbst finden, oder durch nachhaken häppchenweise bekommen, okay, ist ja immerhin ein Anfang/ Ansatz. Auch das ist irgendwie helfen denke ich...optimal ist das aus meiner Sicht aber nicht, wenn du mich fragst, ohne das irgendwie abwertend zu meinen oder sowas...

 

Wenn man mir gleich sagt Hey mach mal 1., 2., 3., sprich alle wichtigen Eckpunkte einmal aufzählt, oder mir ne qualitativ gute Anleitung gibt, gerne auch als URL, die ich über Google nicht finden konnte o.ä., dann ist das doch optimal find ich. Ansonsten muss man weitere Fragen stellen, nachhaken, irgendwann ist so viel Text da, das man evtl. was überliest, Mißverständnisse entstehen und und und...sowas kann dann ja u.U. auch mal anstrengend werden... ;) Nicht zuletzt gibt es ja auch die Situation, gute Antworten bekommen zu haben, und trotzdem will es nicht funktionieren. Dann kann man in einer Community daran arbeiten, das Problem zu finden und wenn´s dann doch nicht geht, mein Gott...ist ja dann auch kein Weltuntergang!

 

Woow, so viel Text geworden...ich hoffe du kannst mich jetzt besser verstehen. :)

 

Schönen Abend noch!

bearbeitet von ajuranah
Link zu diesem Kommentar
Sunny61 Grand Master

Sunny61   773

Geschrieben
Geschrieben

Ich diskutier die Themen mit Gleichgesinnten in einem Forum wie diesem hier, wo sich auch erfahrene Admins/ Spezialisten finden...so bekomme ich zu den jeweiligen Themen Feedback von mehreren Seiten und kann mir dadurch auch eine bessere Meinung bilden, als nur das Thema in ne Suchmaschine zu kloppen, zu lesen und fertig.

Du diskutierst ja nicht, du fragst nur Grundlagen ab.

 

 

Dazu ist ein Forum da. Wer sich an der Diskussion nicht beteiligen möchte, kann sich ja einfach raus halten find ich! :) P.s.: Danke für die Links!

 

Das hier ist keine Diskussion, Du fragst nur und kannst die Antworten nicht lesen. Und ich, und viele andere hier auch, erwarten auch Mitarbeit von den Fragestellern.

Hä? Verstehe nicht was du meinst...ich komme doch nicht her, um den "einheimischen" zu vermitteln, was richtig ist, oder das hier irgendwas falsch läuft oder sowas...

Du willst uns erklären für was ein (das) Forum da ist, das meint Norbert.

 

 

Meine persönliche (ehrliche) Meinung zum Supportgedanken: Also ich find ja, das es beim sich gegenseitig unterstützen nicht immer nur auf diejenigen ankommt, die etwas nicht verstehen und daher Fragen an die Wissenden stellen, sondern es kommt doch auch auf diejenigen an, die etwas Wissen weitergeben wollen, um denjenigen bei seiner Wissenslücke die er hat zu helfen. Also wenn die Hilfe eben so ist, dass man ein Feature namentlich benennt und den Rest muss man dann selbst finden, oder durch nachhaken häppchenweise bekommen, okay, ist ja immerhin ein Anfang/ Ansatz.

 

Und warum machst Du das dann nicht?

 

Auch das ist irgendwie helfen denke ich...optimal ist das aus meiner Sicht aber nicht, wenn du mich fragst, ohne das irgendwie abwertend zu meinen oder sowas...

Wenn Du alles nur vorgekaut haben möchtest, ich und viele andere hier sind der Meinung, nur durch eigene Mitarbeit und Hilfe zur Selbsthilfe kannst *Du* etwas lernen.

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.804

Geschrieben
Geschrieben (bearbeitet)

Hä? Verstehe nicht was du meinst...ich komme doch nicht her, um den "einheimischen" zu vermitteln, was richtig ist, oder das hier irgendwas falsch läuft oder sowas...ganz im Gegenteil:

Ok, zur Verdeutlichung gern noch eine Erklärung meiner Sichtweise, die nicht stellvertretend für jeden hier steht:

Allein dein Kommentar oben hinsichtlich "deiner Gezwungenheit" hier Hinweise zu geben zu müssen, zeigt mir zumindest, dass du mit den Helfern hier eigentlich gar nicht zusammenarbeiten möchtest, sondern die sollen dir deine Frage beantworten. Da wir alle das aber freiwillig in der Freizeit tun, musst du (der mit der Frage/dem Problem) dich bemühen deinen Helfern ebenfalls zu helfen. Wenn ich dich bisher falsch verstanden habe, mag das daran liegen, dass ich und viele andere hier auch schon seit Jahren in diesem und anderen Foren unterwegs sind und halbwegs einschätzen können wie "der Hase läuft". Das soll weder abwertend noch sonst irgendwie negativ belegt sein, und es werden, wie du siehst deine Fragen auch beantwortet. Aber wie bspw. Sunny schon schrieb verstehen viele hier das Forum auch als Hilfe zur Selbsthilfe.

 

Das Forum hier ist super! Genau das richtige Board, um Fragen zu Windows-Server, das AD und den Gruppenrichtlinien zu stellen...mit AD kenne ich mich schon gut aus, der Rest da bin ich noch absoluter Anfänger und es tut mir leid, wenn ich die ein oder andere Antwort hier nicht gleich so verstanden habe, wie ich sie aus deiner Sicht evtl. hätte verstehen können. Ist das schlimm?

Nein, das ist nicht schlimm, sondern normal. Aber im allgemeinen gehe ich auch nicht ins bmw forum und erwarte, dass mir mal eben jemand erklärt wie so ein 6-Zylinder funktioniert.

 

 

 

dass man ein Feature namentlich benennt und den Rest muss man dann selbst finden, oder durch nachhaken häppchenweise bekommen, okay, ist ja immerhin ein Anfang/ Ansatz. Auch das ist irgendwie helfen denke ich...optimal ist das aus meiner Sicht aber nicht, wenn du mich fragst, ohne das irgendwie abwertend zu meinen oder sowas...

Was hilft es dir, wenn dir jemand die Lösung vorkaut, du sie aber nicht verstehst? Viele machen den Support-Job hier beruflich, wenn du also sowas gelöst haben willst, ohne groß nachzudenken wird sich sicher jemand finden. Ich bin aber auch ein Freund von Hilfe zur Selbsthilfe. Wenn's dann an Details klemmt bin zumindest ich der letzte der nicht weiterhilft.

 

Naja, du hast das Problem und deine Helfer helfen dir, wenn Sie Lust haben und merken, dass du "mitarbeitest". Wir sind alle Menschen. ;)

 

Ebenfalls schönen Abend

Norbert

bearbeitet von NorbertFe
Link zu diesem Kommentar
ajuranah Contributor

ajuranah   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Du diskutierst ja nicht, du fragst nur Grundlagen ab.

Grundlagen? Wie meinst nen das? Sorry dass ich kein GPP-Profi bin und ne Frage stelle, oder was meinst du mit ich frage nur Grundlagen ab? Eigentlich wollte ich ja nur wissen, wie man den UNC-Pfad raus bekommt und stattdessen einfach nur eine Beschriftung erhält. Dann erhalte ich aber ne Info per GPP machen. Cool, dachte ich mir, dann müsste ich die Angaben ja im AD-profil nicht mehr machen...klappt nur leider nicht, obwohl es per AD-Profil ja fehlerfrei funktioniert. Dann gemerkt, dass ich zu b***d war und %username% hinzugefügt, klappt aber selbst mit Angabe von %username% nicht, hab jetzt nen Systemfehler 55, was für mich irgendwie noch keinen Sinn ergibt, da die Ressourcen ja da sind und auch online. Naja, egal, da es ja per AD-Profil geht.

 

Das hier ist keine Diskussion, Du fragst nur und kannst die Antworten nicht lesen. Und ich, und viele andere hier auch, erwarten auch Mitarbeit von den Fragestellern.

Wie sieht denn ne Diskussion für dich aus? Ich werde mir ab sofort gern noch mehr Mühe geben die Beiträge/ Antworten zu lesen und hey, ich zieh mir den ganzen Stoff rein hier. Habe ich da aus deiner Sicht jetzt noch irgendwas nicht verstanden, oder überlesen? Bei zu viel Text kann schon mal was untergehen...bin auch nur nen Mensch!

 

Du willst uns erklären für was ein (das) Forum da ist, das meint Norbert.

Eigentlich wollte ich nur klar stellen, in welcher Form ich mir Antworten wünsche. Da hab ich die Messlatte wohl zu hoch gelegt... Da muss man natürlich auch schauen, wie man das kommuniziert, weil dadurch, dass man sich nicht kennt, kann das natürlich schon mal falsch ankommen. Ich halte mich hier ab sofort gern zurück. Der einztige Gedanke dabei war, das ihr meine Sichtweise/ Gedankengang dazu versteht bzw. das ihzr euch besser auf mich einstellen könnt. :)

 

Und warum machst Du das dann nicht?

 

Wie meinst nen das? Ich habe seit der Anmeldung hier sämtliche Themen durchgearbeitet, die man mir per Link geschickt/ vermittelt hat. Hat mir bisher schon viel gebracht muss ich sagen.

 

 

Wenn Du alles nur vorgekaut haben möchtest, ich und viele andere hier sind der Meinung, nur durch eigene Mitarbeit und Hilfe zur Selbsthilfe kannst *Du* etwas lernen.

Wer sagt denn, dass ich alles vorgekaut haben möchte. Ich sehe das auch so, deswegen beschäftigte ich mich ja auch so intensiv mit der Materie. Es ist aus meiner Sicht trotzdem immer mal gut, noch mal weitere Meinungen einzuholen, von Leuten, die auf dem Gebiet praxismäßig erfahren sind, was wiederum jemand, der nen Artikel darüber geschrieben hat evtl. nicht berücksichtigt hat/ konnte.

 

Ich mein hey, ich hab gerade mal 3 Threads eröffnet. Hab hier schon nen komplettes DFS gebastelt und läuft prima. Nur bei den Sachen, die noch nicht funktionieren, muss ich doch fragen, wenn ich nichts dazu finde. Ich verstehe halt noch nicht, wo der Fehler liegt, was das Home-LW per GPP mappen - Thema angeht.

Ok, zur Verdeutlichung gern noch eine Erklärung meiner Sichtweise, die nicht stellvertretend für jeden hier steht:

Allein dein Kommentar oben hinsichtlich "deiner Gezwungenheit" hier Hinweise zu geben zu müssen, zeigt mir zumindest, dass du mit den Helfern hier eigentlich gar nicht zusammenarbeiten möchtest, sondern die sollen dir deine Frage beantworten. Da wir alle das aber freiwillig in der Freizeit tun, musst du (der mit der Frage/dem Problem) dich bemühen deinen Helfern ebenfalls zu helfen. Wenn ich dich bisher falsch verstanden habe, mag das daran liegen, dass ich und viele andere hier auch schon seit Jahren in diesem und anderen Foren unterwegs sind und halbwegs einschätzen können wie "der Hase läuft". Das soll weder abwertend noch sonst irgendwie negativ belegt sein, und es werden, wie du siehst deine Fragen auch beantwortet. Aber wie bspw. Sunny schon schrieb verstehen viele hier das Forum auch als Hilfe zur Selbsthilfe.

 

Das siehst du leider falsch, denn so war und ist es nicht gemeint. Ich weiß gar nicht wie oft ich mich für die paar Fragen die ich gestellt habe, schon bedankt habe, weil ich auch sehe, dass es mir was bringt. Ich bemühe mich bestmöglich, deswegen hab ich ja u.a. auch Screenshots erstellt, als man mich danach fragte. Wenn noch Zusatzinfos fehlen, einfach sagen, werden geliefert. Von mir aus könnt ihr hier auch mal per TeamViewer rauf gehen und euch das mit eigenen Augen anschauen. Stoff wird hier durchgearbeitet und finds super, das ich in so kurzer Zeit schon so viel neues gelernt habe, was ich direkt in Praxis anwenden kann. Geil!

 

 

Nein, das ist nicht schlimm, sondern normal. Aber im allgemeinen gehe ich auch nicht ins bmw forum und erwarte, dass mir mal eben jemand erklärt wie so ein 6-Zylinder funktioniert.

Sorry, mir war zu dem Zeitpunkt nicht bewusst, dass es sich hierbei um eine so komplexe Angelegenheit handelt. Ich dachte es gäbe ne einfachere Lösung, als die AD-Profil - Version und da es nicht klappte, hab ich gefragt, ob irgendwer helfen kann, oder weiter weiß. Für mich ist das Thema eh erstmal abgehakt, da ich die Lösung per AD-Profil jetzt auch nicht für all zu aufwändig empfinde, nur bin ich eben auch neugierig, wenn es Alternativen gibt und versuche durch Abfragen an die erforderlichen Infos zu kommen.

 

 

Was hilft es dir, wenn dir jemand die Lösung vorkaut, du sie aber nicht verstehst? Viele machen den Support-Job hier beruflich, wenn du also sowas gelöst haben willst, ohne groß nachzudenken wird sich sicher jemand finden. Ich bin aber auch ein Freund von Hilfe zur Selbsthilfe. Wenn's dann an Details klemmt bin zumindest ich der letzte der nicht weiterhilft.

Wer sagt denn, dass ich das nicht verstehe? Ich bin sehr lernfähig. Wenn die Infos eindeutig, bestenfalls kurz und prägnant sind, dann nehm ich das auf wie nen Schwamm das Wasser und kann es dadurch auch gut in Praxis anwenden. Die Version mit dem nur ein Stückchen von der Lösung nennen ist auch nicht verkehrt, führt nur dazu, dass man mehr Zeit benötigt, um es in Praxis anzuwenden, abh. davon, welche Infos man zu dem jeweiligen Thema in anderen Quellen findet.

 

 

Naja, du hast das Problem und deine Helfer helfen dir, wenn Sie Lust haben und merken, dass du "mitarbeitest". Wir sind alle Menschen. ;)

Ja und dafür möchte ich mich noch mal ganz herzlich bedanken. Wenn man mir sagt, wodurch ich mithelfen kann, bin ich ebenso der letzte, der sagt, nö mach ich nicht.

 

 

Ebenfalls schönen Abend

Norbert

 

Danke schön, hat mich gefreut!

bearbeitet von ajuranah
Link zu diesem Kommentar
Reingucker Rising Star

Reingucker   3

Geschrieben
Geschrieben

@ajuranah

 

Lass gut sein. So ist das nun mal in Tech-Foren. Es geht ja für die Wissenden auch um viel und falls sie mal etwas falsch schreiben/erklären, dann könnte das schon zum "hahaha, schau mal was der xy da geschrieben hat!" in ihren Firmen ausarten. Also wird es manchmal gegenüber den Unwissenden etwas kurzangebunden um möglichst wenig Angriffsfläche zu bieten. Es ist also nicht gegen den Unwissenden gerichtet. Natürlich nicht, denn sonst würde der Wissende ja erst gar nicht Antworten. Es ist also mehr eine Art Selbstschutz ;)

  • Like 1
Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.804

Geschrieben
Geschrieben

@ajuranah

 

Lass gut sein. So ist das nun mal in Tech-Foren. Es geht ja für die Wissenden auch um viel und falls sie mal etwas falsch schreiben/erklären, dann könnte das schon zum "hahaha, schau mal was der xy da geschrieben hat!" in ihren Firmen ausarten. Also wird es manchmal gegenüber den Unwissenden etwas kurzangebunden um möglichst wenig Angriffsfläche zu bieten. Es ist also nicht gegen den Unwissenden gerichtet. Natürlich nicht, denn sonst würde der Wissende ja erst gar nicht Antworten. Es ist also mehr eine Art Selbstschutz ;)

Nicht von dir auf andere schließen. Es soll Leute geben, die können akzeptieren fehler zu machen oder bei Themen in denen sie sich nicht auskennen nichts zu schreiben.

Link zu diesem Kommentar
ajuranah Contributor

ajuranah   0

Geschrieben
  • Autor
Geschrieben

@ajuranah

 

Lass gut sein. So ist das nun mal in Tech-Foren. Es geht ja für die Wissenden auch um viel und falls sie mal etwas falsch schreiben/erklären, dann könnte das schon zum "hahaha, schau mal was der xy da geschrieben hat!" in ihren Firmen ausarten. Also wird es manchmal gegenüber den Unwissenden etwas kurzangebunden um möglichst wenig Angriffsfläche zu bieten. Es ist also nicht gegen den Unwissenden gerichtet. Natürlich nicht, denn sonst würde der Wissende ja erst gar nicht Antworten. Es ist also mehr eine Art Selbstschutz ;)

Jo verstehe. Danke für den Hinweis!

Moin,

 

wurde eigentlich das Thema der Eröffnung hinreichend diskutiert, ist es geklärt?

Ich habe alle Infos die ich brauche und verstehe nun auch was es mit den lokalen Gruppen auf sich hat (Ersteller-Besitzer, System) etc. Hier noch mal Danke an Sunny für den Link zu http://www.faq-o-mat...richtig-nutzen/

 

Wenn noch irgendwer Zusatzinfos hat die nützlich sein könnten, immer her damit! :)

Link zu diesem Kommentar
  • Beste Lösung
Kevin Flynn Newbie

Kevin Flynn   2

Geschrieben
  • Beste Lösung
Geschrieben (bearbeitet)

@lefg

 

Hm, diese Aussagen erstaunen mich doch. Warum eine Freigabe über GPO?

 

Das schien mir mit der eleganteste und auch logischste Weg, das hier geforderten,  "einen Ordner in der Domäne freigeben und Zugriffsrechte nur für bestimmte, hier eine Sicherheitsgruppe, die zuvor in der AD erstellt wurde", umzusetzen.

Natürlich ist dies bei weitem nicht der einzige Weg.

 

 

Wie über GPO? Oder ist damit gemeint Netzlaufwerk per GPO?

 

Richtig, per GPO würde ich das Netzlaufwerk einbinden und dieses nur für die Gruppe mit entprechenden Privilegien sichtbar machen.

 

 

Und wozu DFS in diewsem Fall?

 

Das Verteilte Dateisystem könnte man an dieser Stelle sicherlich noch irgendwie schönreden, (siehe Kommentar von daabm  bezüglich des hochverfügbaren Zugriff auf geografisch verteilte Dateien"), aber um ehrlich zu sein, war dies einfach nur ein grober Verwechslungsfehler meinerseits. Gemeint war nämlich eigentlich der Rechteverwaltungsdienst (AD RMS). :)

 

 

 

Um nur NTFS Rechte für nur eine Gruppe auf einen Ordner zu vergeben, ist dies so natürlich alles gar nicht notwendig , da hat der User NorbertFe völlig recht.  Der von Sunny61 gesetzte Link ist da ansonsten recht erschöpfend.Wie ich das aber verstanden habe, ging es ja nicht alleine nur darum. Mit dem RMS (was von mir  fälschlicherweise als DFS bezeichnet wurde)  habe ich einfach schon mal einen Schritt weiter gedacht, da ich in einem MCSE Forum neben gewissen Grundkenntnissen (MCSA) auch frech davon ausgehe, dass die gestellten Fragen auch mal in einem professionellen und produktiven Serverumfeld umgesetzt werden sollen. Und da wird man auf längere Hinsicht kaum um GPO, RMS und DFS herumkommen. Es sei denn man hat zu viel Freizeit ;)

 

 

@Newbie

 

Servus Kevin Flynn,

 

ich habe mich die letzte Nacht intensiv mit NTFS und Freigaben und Sicherheitsgruppen etc. auseinandergesetzt. An der Stelle noch mal Danke an Sunny für den Link zu faq-o-matic, die Seite ist nen Traum!

 

Kevin, könntest du evtl. paar Beispiele nennen, wie die NTFS Rechte aus deiner Sicht konfiguriert werden sollten. Wie konfigurierst du die NTFS-Rechte denn und warum? Das würde mich interessieren.

 

 

 

Die Gruppenstruktur  würde ich nach dem A G DL P -Prinzips  (Rollenbaisertes Berechtigungskonzept) aufbauen. Dadurch erhält man eine sehr effiziente Gruppenverschachtlung, die den Arbeitsaufwand deutlich verringert, eine hohe Transparenz  über die Berechtigungen schafft, als auch den Replikationsverkehr im Netz verringert. Sprich performance- und ressourcenschonend ist. Auch werden so die Einträge in der ACL gering gehalten.

 

Dies entspricht der Best-Practice-Empfehlung, aber es ist wegen des Tokensize Problem nicht immer ratsam. 

Dennoch würde ich persönlich nicht davon abweichen wollen, da der Tokensize in der Registry bei den meisten Applikationen angepasst werden kann. Vorausschauendes Arbeiten wäre also sehr sinnvoll.

 

Abraten würde ich persönlich von einer direkten Berechtigungsvergabe, da dies stark zu einer Intransparenz beiträgt, also alles andere als übersichtlich ist. Dies dann über die Windows-Bordmitteln noch nachvollziehen zu wollen, wird bei einer gewissen Anzahl von Gruppen und Usern, ein aufwendiges und manchmal auch unmögliches Unterfangen.

 

 

Alternativen die man vielleicht kennen sollte sind :

 

A-G-G-P/A-G-P und A-G-U-P/A-U-P

 

Allgemein ist von einer Struktur über 4 Verschachtlungen (Ebenen) abzuraten.

 

Es lohnt immer Zeit in sein Berechtigungskonzept zu investieren, das erleichtert das Leben danach ungemein. ;)

 

 

 

Ich habe einen Windows 2008R2-Server (Enterprise) zum DC gemacht und konnte nur Dateidienste auswählen. Ich kann die Rolle DFS nicht finden. Wo versteckt nen die sich? Oder muss ich einen weiteren Server dazu aufsetzen?

 

 

 Dieser Step by Step Guide sollte dir weiterhelfen:

 

http://technet.microsoft.com/de-de/library/cc732863%28v=ws.10%29.aspx

bearbeitet von Kevin Flynn
  • Like 1
Link zu diesem Kommentar
ajuranah Contributor

ajuranah   0

Geschrieben
  • Autor
Geschrieben (bearbeitet)

 

Das schien mir mit der eleganteste und auch logischste Weg, das hier geforderten,  "einen Ordner in der Domäne freigeben und Zugriffsrechte nur für bestimmte, hier eine Sicherheitsgruppe, die zuvor in der AD erstellt wurde", umzusetzen.

Natürlich ist dies bei weitem nicht der einzige Weg.

 

Ja genau so war das gedacht. Ich find´s einfach mega praktisch, weil man einmal dick Zeit investiert (Konzepterstellung) und dann für immer ein richtig gutes Rechtesystem hätte, was durch die Import/ Eport Funktionen sogar noch gesichert/ wiederhergestellt werden kann. Nie wieder neu einrichten müssen, User einfach in die jeweilige Gruppe packen, einer der Gründe, weshalb ich das unbedingt so haben möchte in meiner Domäne. Ich war mal in einer Firma (Name egal) wo so ein System vollständig aufgebaut war. Hat nen User angerufen und wollte Zugriff auf den und den Ordner haben, hab ich ihn einfach in die Gruppe gepackt fertig. Nichts nachsteuern usw., höchsten mal Reboot. Leider habe ich bei der Erstellung dieses Systems nicht mitgewirkt, aber hierdurch kam ich eigentlich zu der Idee, das auch für meine Domäne zu übernehmen und daher auch die Testaktion hier mit dem Server. Wenn das bei mir 2016 so läuft, bin ich sowas von Happy...

 

 

Das Verteilte Dateisystem könnte man an dieser Stelle sicherlich noch irgendwie schönreden, (siehe Kommentar von daabm  bezüglich des hochverfügbaren Zugriff auf geografisch verteilte Dateien"), aber um ehrlich zu sein, war dies einfach nur ein grober Verwechslungsfehler meinerseits. Gemeint war nämlich eigentlich der Rechteverwaltungsdienst (AD RMS). :)

Bei mir ist das jetzt so angekommen, dass man sich anstelle von DFS lieber mal mit AD RMS beschäftigen sollte. Die Rolle könnte ich hier ja hinzufügen. AD RMS = verbessertes DFS quasi?

 

 

Die Gruppenstruktur  würde ich nach dem A G DL P -Prinzips  (Rollenbaisertes Berechtigungskonzept) aufbauen. Dadurch erhält man eine sehr effiziente Gruppenverschachtlung, die den Arbeitsaufwand deutlich verringert, eine hohe Transparenz  über die Berechtigungen schafft, als auch den Replikationsverkehr im Netz verringert. Sprich performance- und ressourcenschonend ist. Auch werden so die Einträge in der ACL gering gehalten.

 

Klingt nach nen super Plan!

 

 

Dies entspricht der Best-Practice-Empfehlung, aber es ist wegen des Tokensize Problem nicht immer ratsam. 

Dennoch würde ich persönlich nicht davon abweichen wollen, da der Tokensize in der Registry bei den meisten Applikationen angepasst werden kann. Vorausschauendes Arbeiten wäre also sehr sinnvoll.

Ich habe davon gehört/ gelesen. Magst du in deinen Worten sagen, was hier auf den Punkt gebracht genau das Problem ist? Wenn nicht, kein Thema, bin am Ball. :)

 

 

Abraten würde ich persönlich von einer direkten Berechtigungsvergabe, da dies stark zu einer Intransparenz beiträgt, also alles andere als übersichtlich ist. Dies dann über die Windows-Bordmitteln noch nachvollziehen zu wollen, wird bei einer gewissen Anzahl von Gruppen und Usern, ein aufwendiges und manchmal auch unmögliches Unterfangen.

Ja, gerade auch, wenn die AD-Welt komplexer wird. Ich will auf keinen Fall jedem User irgendwelche Rechte zuweisen müssen bzw. ich will Sicherheitsgruppen unter ner OU namens Daten einbauen mit den jeweiligen Dateirechten...

 

Quizfrage: Du hast 5 Computer, einen Server zu Hause. Die Computer haben unterschiedliche Berechtigungen gemäß der jeweiligen GPO, die - wie ich heute weiß - auch an der richtigen OU verknüpft werden sollte.... :o Ab und zu kommen Freunde mit ihren Lappies vorbei, die man in die Domäne joinen will. Man zockt ne Runde oder tauscht Daten untereinander aus. Wie würde dein AD-Design aussehen, wenn du Admins, Standarduser, Gäste, Daten (hier wiederum Sicherheitsgruppen mit den unterschiedlichen Berechtigungen auf Netzlaufwerke) und die verschiedenen Computertypen Desktop, Laptop, Server mit unterschiedlichen Dateirechten austatten möchtest? (Ich hab bereits nen Plan, mich würde nur interessieren, wie du das strukturieren würdest, aber Antwort ist optional. Bin halt neugierig, und vielleicht gibt es eine Begründung, die so einschlagend ist, das ich das evtl. übernehmen sollte, weil ich das das Grundwissen was du hast noch nicht besitze?

:wink2:

 

 

Alternativen die man vielleicht kennen sollte sind :

 

A-G-G-P/A-G-P und A-G-U-P/A-U-P

 

Allgemein ist von einer Struktur über 4 Verschachtlungen (Ebenen) abzuraten.

 

Es lohnt immer Zeit in sein Berechtigungskonzept zu investieren, das erleichtert das Leben danach ungemein.

Hey ich find das total super, wie du dich hier einsetzt. Ich werde mich mit diesen Alternativen beschäftigen. Danke schön und Respekt! :thumb1: :thumb1: :thumb1:

 

 

Dieser Step by Step Guide sollte dir weiterhelfen:

DFS konnte ich bereits einrichten und konfigurieren (irgendwer hatte mir schon die Infos gegeben whatever...), trotzdem Danke für den Link und schönen Abend noch. :) :jau:

bearbeitet von ajuranah
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...