Dukel

Das ist die Edition. Version ist 2014 mit einem bestimmten Patchstand. Dann dürfte aber nicht die Fehlermeldung "Zugriff verweigert" kommen.

Mit der selben Fehlermeldung? Dann hast du dort auch keine Rechte.

Zugriff verweigert. Du hast keine Rechte. Kopiere das Backup doch einfach in den SQL Backup Ordner (C:\program files\...\sql\...\backup).

Vielleicht hat er als Bedingung die Domäne "box" genutzt.

Es gibt kein Professional. Nur Standard, Enterprise oder Express und Developer.

Es spricht auch generell nichts Wöchentlich oder Monatlich ein Vollbackup zu machen und Täglich Inkrementelle Backups. Bei einem SQL Server kann man zusätzlich in kleineren Abständen (je nach Anforderungen!) die Transaktions Protokolle sichern. Wieso sollte man Tägliche Vollbackups machen?

Filestream ist wie wenn du die Daten direkt in der Datenbank hättest. Bei einem Backup ist entweder alles oder nichts dabei.

Wenn die Share Rechte auf Lesen sind, ist es egal was die NTFS Rechte sind, dann gibt es maximal ein lesen. Wenn die Share Rechte auf Ändern sind, kannst du das immer noch via NTFS auf Lesen einschränken.

Was hast du jetzt bei den Share Einstellungen konfiguriert?

Share und NTFS Rechte nicht durcheinander bringen!

Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen. Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users".

Ich nutze kein Outlook mit Imap. Entweder mit Exchange oder ein anderen Client.

Abschluss der Migration? Heisst das, du willst nur noch DC02 laufen haben oder ist ein zweiter DC geplant? Wenn nicht -> Einplanen! Und in Zukunft keine weiteren Dienste auf den DC's laufen lassen.

Die Unterordner liegen beim alten Provider und müssen beim Providerwechsel migriert / kopiert werden.

Kennst du das AGDLP Prinzip? https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Genau. Das kannst du auch einfach testen. Bau dir die Demo Struktur auf. Lass ABE deaktiviert und schaue mit einem Test User drauf. Schalte ABE an und schaue dann mit dem selben User drauf. Hast du dir schon Gedanken über das (AD) Gruppen Konzept gedanken gemacht?

Sprich die Rechte des Objects...

Die Benutzer bekommen am besten den Root gemappt und müssen sich durchklicken (T3, T301, T301 Daten). Mit ABE sehen die Benutzer nur diese Ordner, in die Sie auch Zugriff haben. Du musst dann nur ein Mapping machen und nicht für jede Gruppe ein eigenes Mapping. ACL sind die Rechte. Wie oben grafisch dargestellt. Unter T301 gibt es parallel einen Management Ordner (für das Team / Gruppen management = Team-, Gruppenleiter) und einen Daten Ordner (für das Team selbst). Im Prinzip wird bei meinem Beispiel die Organisation abgebildet. Es gibt die Ebenen T3, T301. Bei Änderungen musst du nur die Mitglieder der Gruppen anpassen und nicht die Rechte. Das kann (je nach Datenmenge) sehr lange dauern und wird beim Backup ein Full Backup daraus machen statt eines Increments, weil sich die Rechte ändern.

Ich würde nochmal auf die Idee mit SPLA kommen. Das kann unter Umständen am günstigen kommen. Du suchst dir ein Provider / Dienstleister, welcher dir Windows Server als SPLA hinstellt. Dies wird monatlich abgerechnet, kann auch auf deiner Eigenen Hardware laufen. Der DL muss die Systeme betreiben und braucht Administrative Rechte auf den Systemen. Wenn dir ein DL ein Angebot macht, siehst du ja, ob dich das für die zwei Jahre günstiger kommt als eine oder mehrere Standard Lizenzen.

Wenn die Anforderungen bestehen, macht man mehr Ebenen! T301 und T302 sind Teams, die zur gleichen Gruppen gehören? Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Management (Gruppenleiter? und Koordinator?) von T3 - - T301 - - - T301 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T301 - - - T301 Daten -> Zugriff lesen, schreiben für Alle aus T301 - - T302 - - - T302 Mgmt - - - T302 Daten ... Diese 2-3 Ebenen sind eine Empfelung. Sollte evtl. eher ein "so wenig wie möglich, so viele wie nötig" sein. Bei vielen Organisationen sind eben 2-3 Ebenen so viel wie nötigt. Was ich aber in jedem fall machen würde, die Management Ordner parallel anordnen. Da ist das mit den ACLs einfacher.

Überlege dir wer braucht wo unterschiedliche Rechte und trenne da. Wenn es unterschiedliche Gruppen gibt (Tx) und jeweils ein Gruppenmanagement (Gruppenleiter, Teamleiter, Koordinator), dann würde ich das auch so aufteilen. Entweder Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 - - T4 Mgmt - - T4 Daten ... oder Root - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 Mgmt - T4 Daten ... Dann brauchst du noch ein gescheites Gruppenkonzept.

Am einfachsten ist es, wenn es z.B. je einen Ordner Tx (z.B. T3) gibt und (mit einem entsprechenden Gruppenkonzept) alle User der Abteilung Tx (z.B. T3) in diesem Ordner lesen und schreiben dürfen. Andere Abteilungen dürfen nach Bedarf (Anforderungen der Abteilungen!) nur Lesen, schreiben und lesen oder haben keinen Zugriff. Z.b. im Ordner Marketing dürfen alle Abteilungen lesen, die Abteilung Vertrieb lesen und schreiben. Im Ordner Vertrieb darf nur der Vertrieb lesen und schreiben und kein anderer darf dort hinein. Alles darunter (z.B. T3K1, TGL301,...) brauchst du im einfachsten Fall nicht. Wenn die Abteilungen das wollen, können Sie diese Struktur einbinden (Aber keine Rechte darauf setzen!). Wenn die Abteilungen diese Anforderung haben, dass das Fein Granularer sein soll, dann macht man ein entsprechendes Konzept mit einer Ebene mehr. Wenn es andere Anforderungen gibt (spezielle Ordner für Projekte, für bestimmte Management Gruppen,...) kann man das Erweitern oder paralell dazu aufbauen. Gibt es denn Anforderungen von den Abteilungen?

Es kommt drauf an, wie feingranular das sein soll. Das ist für jede Firma Unterschiedlich. Ich würde schauen, dass das so einfach wie möglich ist. Z.b. jede Abteilung oder Team bekommt sein Laufwerk und jeder aus diesem Team kann darin lesen und schreiben. Wieso sollen Teamleiter, Koordinatoren und Gruppenleiter nur bestimmte Dinge schreiben dürfen. Evtl. kann man einen Ordner für das Management eines Teams / einer Abteilung machen. Aber das kommt auf die Anforderungen der Abteilung an. Das mit den 2-3 Ebenen hat mit den Rechten zu tun. Es kann schon mehr Ebenen geben, aber je tiefer Rechte vergeben werden, desto komplexer wird das ganze. ABE ist eine Einstellung, dass nur die User die Ordner sehen, auf die sie Rechte haben. Kann man generell aktivieren (früher hat das eine gewisse Last bedeutet und wurde daher nicht immer aktiviert).

Das Ding heisst nur Hyper-V Server 2019. Mit Windows 10 hat das nichts zu tun. Das ist ein abgespeckter Windows Server 2019, welcher nur Hyper-V kann.

Hier geht es meist um das AD. Dort braucht man die Organisations Struktur nicht, da es beim AD um das Verwalten der Einheiten geht. In einem Fileserver sieht das ganze anderst aus. Hier kann man ruhig die Organisationsstruktur nachbauen, da die selben Strukturen meist auf die selben Daten zugreifen sollen. Die Verknüpfung der AD Sgtruktur mit dem Filesystem sind die Gruppen. Hier ist es z.B. einfacher bei einem Abteilungswechsel, einen Benutzer die Gruppen anzupassen und nicht den Benutzer im AD zu verschieben.