Dukel

Wenn die Share Rechte auf Lesen sind, ist es egal was die NTFS Rechte sind, dann gibt es maximal ein lesen. Wenn die Share Rechte auf Ändern sind, kannst du das immer noch via NTFS auf Lesen einschränken.

Was hast du jetzt bei den Share Einstellungen konfiguriert?

Share und NTFS Rechte nicht durcheinander bringen!

Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen. Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users".

Ich nutze kein Outlook mit Imap. Entweder mit Exchange oder ein anderen Client.

Abschluss der Migration? Heisst das, du willst nur noch DC02 laufen haben oder ist ein zweiter DC geplant? Wenn nicht -> Einplanen! Und in Zukunft keine weiteren Dienste auf den DC's laufen lassen.

Die Unterordner liegen beim alten Provider und müssen beim Providerwechsel migriert / kopiert werden.

Kennst du das AGDLP Prinzip? https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Genau. Das kannst du auch einfach testen. Bau dir die Demo Struktur auf. Lass ABE deaktiviert und schaue mit einem Test User drauf. Schalte ABE an und schaue dann mit dem selben User drauf. Hast du dir schon Gedanken über das (AD) Gruppen Konzept gedanken gemacht?

Sprich die Rechte des Objects...

Die Benutzer bekommen am besten den Root gemappt und müssen sich durchklicken (T3, T301, T301 Daten). Mit ABE sehen die Benutzer nur diese Ordner, in die Sie auch Zugriff haben. Du musst dann nur ein Mapping machen und nicht für jede Gruppe ein eigenes Mapping. ACL sind die Rechte. Wie oben grafisch dargestellt. Unter T301 gibt es parallel einen Management Ordner (für das Team / Gruppen management = Team-, Gruppenleiter) und einen Daten Ordner (für das Team selbst). Im Prinzip wird bei meinem Beispiel die Organisation abgebildet. Es gibt die Ebenen T3, T301. Bei Änderungen musst du nur die Mitglieder der Gruppen anpassen und nicht die Rechte. Das kann (je nach Datenmenge) sehr lange dauern und wird beim Backup ein Full Backup daraus machen statt eines Increments, weil sich die Rechte ändern.

Ich würde nochmal auf die Idee mit SPLA kommen. Das kann unter Umständen am günstigen kommen. Du suchst dir ein Provider / Dienstleister, welcher dir Windows Server als SPLA hinstellt. Dies wird monatlich abgerechnet, kann auch auf deiner Eigenen Hardware laufen. Der DL muss die Systeme betreiben und braucht Administrative Rechte auf den Systemen. Wenn dir ein DL ein Angebot macht, siehst du ja, ob dich das für die zwei Jahre günstiger kommt als eine oder mehrere Standard Lizenzen.

Wenn die Anforderungen bestehen, macht man mehr Ebenen! T301 und T302 sind Teams, die zur gleichen Gruppen gehören? Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Management (Gruppenleiter? und Koordinator?) von T3 - - T301 - - - T301 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T301 - - - T301 Daten -> Zugriff lesen, schreiben für Alle aus T301 - - T302 - - - T302 Mgmt - - - T302 Daten ... Diese 2-3 Ebenen sind eine Empfelung. Sollte evtl. eher ein "so wenig wie möglich, so viele wie nötig" sein. Bei vielen Organisationen sind eben 2-3 Ebenen so viel wie nötigt. Was ich aber in jedem fall machen würde, die Management Ordner parallel anordnen. Da ist das mit den ACLs einfacher.

Überlege dir wer braucht wo unterschiedliche Rechte und trenne da. Wenn es unterschiedliche Gruppen gibt (Tx) und jeweils ein Gruppenmanagement (Gruppenleiter, Teamleiter, Koordinator), dann würde ich das auch so aufteilen. Entweder Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 - - T4 Mgmt - - T4 Daten ... oder Root - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 Mgmt - T4 Daten ... Dann brauchst du noch ein gescheites Gruppenkonzept.

Am einfachsten ist es, wenn es z.B. je einen Ordner Tx (z.B. T3) gibt und (mit einem entsprechenden Gruppenkonzept) alle User der Abteilung Tx (z.B. T3) in diesem Ordner lesen und schreiben dürfen. Andere Abteilungen dürfen nach Bedarf (Anforderungen der Abteilungen!) nur Lesen, schreiben und lesen oder haben keinen Zugriff. Z.b. im Ordner Marketing dürfen alle Abteilungen lesen, die Abteilung Vertrieb lesen und schreiben. Im Ordner Vertrieb darf nur der Vertrieb lesen und schreiben und kein anderer darf dort hinein. Alles darunter (z.B. T3K1, TGL301,...) brauchst du im einfachsten Fall nicht. Wenn die Abteilungen das wollen, können Sie diese Struktur einbinden (Aber keine Rechte darauf setzen!). Wenn die Abteilungen diese Anforderung haben, dass das Fein Granularer sein soll, dann macht man ein entsprechendes Konzept mit einer Ebene mehr. Wenn es andere Anforderungen gibt (spezielle Ordner für Projekte, für bestimmte Management Gruppen,...) kann man das Erweitern oder paralell dazu aufbauen. Gibt es denn Anforderungen von den Abteilungen?

Es kommt drauf an, wie feingranular das sein soll. Das ist für jede Firma Unterschiedlich. Ich würde schauen, dass das so einfach wie möglich ist. Z.b. jede Abteilung oder Team bekommt sein Laufwerk und jeder aus diesem Team kann darin lesen und schreiben. Wieso sollen Teamleiter, Koordinatoren und Gruppenleiter nur bestimmte Dinge schreiben dürfen. Evtl. kann man einen Ordner für das Management eines Teams / einer Abteilung machen. Aber das kommt auf die Anforderungen der Abteilung an. Das mit den 2-3 Ebenen hat mit den Rechten zu tun. Es kann schon mehr Ebenen geben, aber je tiefer Rechte vergeben werden, desto komplexer wird das ganze. ABE ist eine Einstellung, dass nur die User die Ordner sehen, auf die sie Rechte haben. Kann man generell aktivieren (früher hat das eine gewisse Last bedeutet und wurde daher nicht immer aktiviert).

Das Ding heisst nur Hyper-V Server 2019. Mit Windows 10 hat das nichts zu tun. Das ist ein abgespeckter Windows Server 2019, welcher nur Hyper-V kann.

Hier geht es meist um das AD. Dort braucht man die Organisations Struktur nicht, da es beim AD um das Verwalten der Einheiten geht. In einem Fileserver sieht das ganze anderst aus. Hier kann man ruhig die Organisationsstruktur nachbauen, da die selben Strukturen meist auf die selben Daten zugreifen sollen. Die Verknüpfung der AD Sgtruktur mit dem Filesystem sind die Gruppen. Hier ist es z.B. einfacher bei einem Abteilungswechsel, einen Benutzer die Gruppen anzupassen und nicht den Benutzer im AD zu verschieben.

Du kannst auch die Automatische Proxy Konfiguration nutzen (wpad).

Du brauchst zwei Arten von Gruppen. Die Rolle und die Access Gruppe. Bei Gruppe 1-4 ist die Namenswahl ungeschickt. Du hast z.B. die Rollengruppen Vertrieb, Produktion, Geschaeftsfuehrung, ... und die Access Gruppen Share_Vertrieb_ro, Share_Vertrieb_rw, Share_Marketing_ro, Share_Marketing_rw, Share_Geschaeftsfuehrung_ro und Share_Geschaeftsfuehrung_rw. (Erstelle ein Namenskonzept und nutze dies!) Wenn jetzt der Vertrieb in sein Share und dem Marketing Share lesen und schreiben soll, kommt die Gruppe Vertrieb in die Gruppen Share_Vertrieb_rw und Share_Marketing_rw. Die Produktion soll in den Marketing Share lesen können und kommt somit in die Gruppe Share_Marketing_ro.

Dann würde ich da ansetzen. Wieso ist das ein Problem? Kann man in der Applikationen einen Timeout einbauen? Was sagt der Hersteller der Applikation zu dem Problem?

Ich nutze gerne https://www.pdfforge.org/de/pdfcreator

Bisschen wenig Ram. Hier die Empfehlung von MS: https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019 Das selbe gilt auch für Exchange 2016.

Hier muss man trotzdem bedenken, dass auch mit einem TPM der komplette Server geklaut werden kann. Hier sollte der Zugang zum Server beschränkt werden! Man kann zwar TPM und PIN / Passwort nutzen (dann müsste jemand den Server mit USV klauen und schnell an den Strom hängen!), braucht dann aber nach jedem Start / Reboot jemand, der das Passwort eingibt.

3.500 User, die Word aufrufen sind etwas anderes, als 3.500 User, die Youtube schauen oder 3.500 User die CAD machen.