Dukel

Gibt es auch eine Fehlermeldung?

Hast du die Variablen angepasst?

Gar nicht bzw. die Freigaben generell verstecken ($ am Ende des Namens).

1 minute ago, PadawanDeluXe said:

Leider bleibt der Fehler weiterhin bestehen. Hat jemand von euch gerade eine Idee wo ich falsch abgebogen bin?

Am Anfang! Auf einen DC kommt weder eine CA noch ein IIS.

20 minutes ago, muenster1974 said:

Ich habe in einem Forum die Info erhalten, es läge an verschiedenen Versionen des Servers. Das habe ich aber ausgeschlossen. Auf beiden Servern läuft Express!

Das ist die Edition. Version ist 2014 mit einem bestimmten Patchstand.

Dann dürfte aber nicht die Fehlermeldung "Zugriff verweigert" kommen.

Mit der selben Fehlermeldung? Dann hast du dort auch keine Rechte.

Zugriff verweigert. Du hast keine Rechte.

Kopiere das Backup doch einfach in den SQL Backup Ordner (C:\program files\...\sql\...\backup).

Vielleicht hat er als Bedingung die Domäne "box" genutzt.

Es gibt kein Professional. Nur Standard, Enterprise oder Express und Developer.

Es spricht auch generell nichts Wöchentlich oder Monatlich ein Vollbackup zu machen und Täglich Inkrementelle Backups. Bei einem SQL Server kann man zusätzlich in kleineren Abständen (je nach Anforderungen!) die Transaktions Protokolle sichern.

Wieso sollte man Tägliche Vollbackups machen?

Filestream ist wie wenn du die Daten direkt in der Datenbank hättest. Bei einem Backup ist entweder alles oder nichts dabei.

Wenn die Share Rechte auf Lesen sind, ist es egal was die NTFS Rechte sind, dann gibt es maximal ein lesen.

Wenn die Share Rechte auf Ändern sind, kannst du das immer noch via NTFS auf Lesen einschränken.

Was hast du jetzt bei den Share Einstellungen konfiguriert?

Share und NTFS Rechte nicht durcheinander bringen!

Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen.

Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users".

Ich nutze kein Outlook mit Imap. Entweder mit Exchange oder ein anderen Client.

Abschluss der Migration? Heisst das, du willst nur noch DC02 laufen haben oder ist ein zweiter DC geplant? Wenn nicht -> Einplanen!

Und in Zukunft keine weiteren Dienste auf den DC's laufen lassen.

Die Unterordner liegen beim alten Provider und müssen beim Providerwechsel migriert / kopiert werden.

6 minutes ago, kaineanung said:

Wir würden die AD-Gruppen so übernehmen wie sie bereits sind.

Die T3, T3K1, TGL301 und T301 sind jeweils auch AD-Gruppen die jedoch flach vorliegen.

Die User sind dann Mitglieder einer dieser Gruppen und die Dateiberechtigung auf dem Fileserver beinhaltet ausschliesslich die Gruppen und keine Benutzer.

Kennst du das AGDLP Prinzip?

https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

Genau.

Das kannst du auch einfach testen. Bau dir die Demo Struktur auf. Lass ABE deaktiviert und schaue mit einem Test User drauf.

Schalte ABE an und schaue dann mit dem selben User drauf.

Hast du dir schon Gedanken über das (AD) Gruppen Konzept gedanken gemacht?

Just now, lefg said:

In der Access Control List des Objektes -Ordner oder Datei -, diese erreichbar unter dessen Schalter Eigenschaften, sind die Berechtigungen für Zugriffe darauf und und Beschränkungen(Verweigern) eingetragen.

Sprich die Rechte des Objects...

1 minute ago, kaineanung said:

1. Die Benutzer bekommen deren Gruppe entsprechend dann den Gruppenordner (z.B. T301) gemappt. Das Management sieht auch den Mgmt-Ordner, die Anderen nur den Daten-Ordner. Oder mappe ich den Datenordner den Anderen direkt (somit sparen Sie sich immer einen Ordner (z.B. T301 Daten) zu öffnen) und nur dem Management den darüber liegenden Ordner (weil die ja in beide Ordner rein dürfen)?

Die Benutzer bekommen am besten den Root gemappt und müssen sich durchklicken (T3, T301, T301 Daten). Mit ABE sehen die Benutzer nur diese Ordner, in die Sie auch Zugriff haben. Du musst dann nur ein Mapping machen und nicht für jede Gruppe ein eigenes Mapping.

1 minute ago, kaineanung said:

2. Was sind ACLs genau ausser das sie Access Conrol List heissen? Ich meine wenn ich auf Dateiebene die Rechte vergebe ist das dann was genau? und wo sind dann die ACLs und wie nutze ich diese und wieso sind die 'genauer' als das 'normale' Vorgehen (Dateiebene->Kontextmenü->Sicherheit->Rechte vergeben)?

ACL sind die Rechte.

1 minute ago, kaineanung said:

3. Was meinst du mit dem 'Management-Ordner Parallel anlegen'? Managementordner in jedem Gruppenordner und Teamordner als Unterordner anlegen? Kannst du mir sagen was da dann genau einfacher ist mit ACL ist? Dabei sind wir aber wieder bei Punkt 2. Was sind ACLs? 

Wie oben grafisch dargestellt. Unter T301 gibt es parallel einen Management Ordner (für das Team / Gruppen management = Team-, Gruppenleiter) und einen Daten Ordner (für das Team selbst).

1 minute ago, kaineanung said:

4. Was sind die Vorteile allgemein im Vergleich zu der Dateistruktur nach dem Organigram der Firma? Das wird mich der Vorgesetzte 1000% Fragen. Ich bin mir nicht sicher bis auf daß wenn sich Gruppen ändern (z.B. einem anderen Koordinator unterstellt werden) müssen wir nichts mehr auf Dateiebene machen sondern nur in der Rechteverwaltung. Das passiert aber nicht so oft und daher brauche ich mehr als nur diesen Vorteil... 

Im Prinzip wird bei meinem Beispiel die Organisation abgebildet. Es gibt die Ebenen T3, T301.

Bei Änderungen musst du nur die Mitglieder der Gruppen anpassen und nicht die Rechte. Das kann (je nach Datenmenge) sehr lange dauern und wird beim Backup ein Full Backup daraus machen statt eines Increments, weil sich die Rechte ändern.

Ich würde nochmal auf die Idee mit SPLA kommen. Das kann unter Umständen am günstigen kommen.

Du suchst dir ein Provider / Dienstleister, welcher dir Windows Server als SPLA hinstellt. Dies wird monatlich abgerechnet, kann auch auf deiner Eigenen Hardware laufen.

Der DL muss die Systeme betreiben und braucht Administrative Rechte auf den Systemen. Wenn dir ein DL ein Angebot macht, siehst du ja, ob dich das für die zwei Jahre günstiger kommt als eine oder mehrere Standard Lizenzen.

Wenn die Anforderungen bestehen, macht man mehr Ebenen!

T301 und T302 sind Teams, die zur gleichen Gruppen gehören?

Root
 - T3
 -  - T3 Mgmt -> Zugriff lesen, schreiben für Management (Gruppenleiter? und Koordinator?) von T3
 -  - T301
 -  -  - T301 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T301
 -  -  - T301 Daten -> Zugriff lesen, schreiben für Alle aus T301
 - - T302
 -  -  - T302 Mgmt
 -  -  - T302 Daten
 ...

Diese 2-3 Ebenen sind eine Empfelung. Sollte evtl. eher ein "so wenig wie möglich, so viele wie nötig" sein. Bei vielen Organisationen sind eben 2-3 Ebenen so viel wie nötigt.

Was ich aber in jedem fall machen würde, die Management Ordner parallel anordnen. Da ist das mit den ACLs einfacher.

Überlege dir wer braucht wo unterschiedliche Rechte und trenne da.

Wenn es unterschiedliche Gruppen gibt (Tx) und jeweils ein Gruppenmanagement (Gruppenleiter, Teamleiter, Koordinator), dann würde ich das auch so aufteilen.

Entweder

Root
 - T3
 -  - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3
 -  - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3
 - T4
 -  - T4 Mgmt
 -  - T4 Daten
 ...

oder

Root
 - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3
 - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3
 - T4 Mgmt
 - T4 Daten
 ...

Dann brauchst du noch ein gescheites Gruppenkonzept.

Am einfachsten ist es, wenn es z.B. je einen Ordner Tx (z.B. T3) gibt und (mit einem entsprechenden Gruppenkonzept) alle User der Abteilung Tx (z.B. T3) in diesem Ordner lesen und schreiben dürfen. Andere Abteilungen dürfen nach Bedarf (Anforderungen der Abteilungen!) nur Lesen, schreiben und lesen oder haben keinen Zugriff.

Z.b. im Ordner Marketing dürfen alle Abteilungen lesen, die Abteilung Vertrieb lesen und schreiben. Im Ordner Vertrieb darf nur der Vertrieb lesen und schreiben und kein anderer darf dort hinein.

Alles darunter (z.B. T3K1, TGL301,...) brauchst du im einfachsten Fall nicht. Wenn die Abteilungen das wollen, können Sie diese Struktur einbinden (Aber keine Rechte darauf setzen!). Wenn die Abteilungen diese Anforderung haben, dass das Fein Granularer sein soll, dann macht man ein entsprechendes Konzept mit einer Ebene mehr.

Wenn es andere Anforderungen gibt (spezielle Ordner für Projekte, für bestimmte Management Gruppen,...) kann man das Erweitern oder paralell dazu aufbauen.

Gibt es denn Anforderungen von den Abteilungen?