Zum Inhalt wechseln


Foto

Berechtigung über Gruppen - Frage zur Strukturierung


  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1 phatair

phatair

    Junior Member

  • 195 Beiträge

 

Geschrieben 09. Mai 2017 - 07:09

Hallo zusammen,

 

ich hätte mal eine Frage zur Strukturierung der AD Gruppen für File Server Berechtigungen.

 

Direkt gesetzte Einzelberechtigungen soll man auf dem File Server ja vermeiden. Wir berechtigen maximal 3 Ebenen tief und erstellen für jeden Ordner der eine spezielle Berechtigung bekommen soll eine AD Gruppe.

 

Das könnte dann wie folgt aussehen.

 

Hauptordner 1 (Berechtigungsgruppe "Hauptordner 1")

- Unterordner 1 (geerbt von "Hauptordner 1")

- Unterordner 2 ( Berechtigungsgruppe "Unterordner 2")

     - Unterordner 1 (geerbt von "Unterordner 2")

     - Unterordner 2 (Berechtigungsgruppe "Unterordner 3")

- Unterordner 3 (geerbt von "Hauptordner 1")

Hauptordner 2 (Berechtigungsgruppe "Hauptordner 2")

 

Das führt natürlich zu sehr vielen Gruppen in der AD. Einige User haben dann natürlich auch sehr viele Gruppenmitgliedschaften. Ist das für die Performance irgendwie problematisch? Ich weiß nur, dass es zu Problemen kommen kann, wenn sehr viele Gruppen oder Einzelberechtigungen auf einen Ordner gesetzt sind.

 

Natürlich könnte man auch z.B. Gruppen nach Abteilungen machen und diese dann immer berechtigen. Aber das macht das ganze etwas unflexibler, da dann plötzlich der Mitarbeiter von der Abteilung A nicht auf den Ordner B zugreifen soll und dann muss ich doch wieder extra Gruppen bauen.

Mit der jetzigen Berechtigung habe ich eine gute Übersicht und für mich auch eine logische und nachvollziehbare Struktur aufgebaut. Mein einziger Gedanke ist eben jetzt die Geschwindigkeit bzw. das es vielleicht bei vielen Gruppen zu Problemen kommen könnte.

 

Wahrscheinlich mache ich mich mit der Frage etwas lächerlich, da wir wirklich kein großes Unternehmen sind. Wir haben ca. 100 AD Accounts und im Moment 210 Berechtigungsgruppen.  :)

Würde mich trotzdem interessieren ob es hier Richtlinien gibt an denen man sich orientieren sollte oder ob man einfach Gruppen anlegen kann, ohne sich darüber Gedanken zu machen.

 

Die File Server laufen im Moment noch mit 2008R2 und 2012R2. Das AD Schema ist 2012R2.

 

Vielen Dank schon mal.

Gruß



#2 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 09. Mai 2017 - 07:45   Lösung

Moin,

 

das Limit für Gruppenmitgliedschaften prop User liegt bei gut 1000 Stück. Daher würde ich bei eurer Unternehmensgröße noch kein Problem technischer Natur erwarten. Auch auf die Performance wird sich dies nicht spürbar auswirken, da gibt es beim Dateizugriff andere Faktoren, die ins Gewicht fallen.

 

Gleichwohl ist der Grundgedanke zutreffend. Es ergibt gerade bei solchen Konstrukten Sinn, möglichst viel an Strukturen und Berechtigungen logisch zusammenzufassen und möglichst wenige Ausnahmen zu definieren, die separate Gruppen erfordern. Als Grundansatz für die Umsetzung im AD empfehle ich das A-G-DL-P-Prinzip.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-ma...richtig-nutzen/

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 wickett

wickett

    Newbie

  • 5 Beiträge

 

Geschrieben 09. Mai 2017 - 08:02

Melde dich mal bei mir per PM,

ich kann Dir da helfen, bin selber Fileserver Admin für über 8000 User und habe sowas umgesetzt und arbeite damit täglich.



#4 phatair

phatair

    Junior Member

  • 195 Beiträge

 

Geschrieben 09. Mai 2017 - 12:46

Danke euch. 

 

@Nils: Danke für den Link - ich dachte immer eine Berechtigung mit "Gruppen in Gruppen" ist nicht empfehlenswert. Aber da scheint sich ja was geändert zu haben. Klingt auf jeden Fall interessant aber braucht auch viel Vorbereitung. In naher Zukunft werde ich das sicherlich nicht anfassen, da fehlt mir einfach im Moment die Zeit für. Aber auf jeden Fall gut zu wissen.

Auf jeden Fall weiß ich erstmal, dass ich noch etwas Luft nach oben habe, mit 1000 Gruppenmitgliedschaften :)



#5 NilsK

NilsK

    Expert Member

  • 12.328 Beiträge

 

Geschrieben 09. Mai 2017 - 13:47

Moin,

 

das A-G-DL-P-Prinzip ist jetzt volljährig. Und der Vorläufer wurde mit NT 3.1 eingeführt. So richtig neu ist das also nicht. :D

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!