Kevin Flynn

@lefg Das schien mir mit der eleganteste und auch logischste Weg, das hier geforderten, "einen Ordner in der Domäne freigeben und Zugriffsrechte nur für bestimmte, hier eine Sicherheitsgruppe, die zuvor in der AD erstellt wurde", umzusetzen. Natürlich ist dies bei weitem nicht der einzige Weg. Richtig, per GPO würde ich das Netzlaufwerk einbinden und dieses nur für die Gruppe mit entprechenden Privilegien sichtbar machen. Das Verteilte Dateisystem könnte man an dieser Stelle sicherlich noch irgendwie schönreden, (siehe Kommentar von daabm bezüglich des hochverfügbaren Zugriff auf geografisch verteilte Dateien"), aber um ehrlich zu sein, war dies einfach nur ein grober Verwechslungsfehler meinerseits. Gemeint war nämlich eigentlich der Rechteverwaltungsdienst (AD RMS). :) Um nur NTFS Rechte für nur eine Gruppe auf einen Ordner zu vergeben, ist dies so natürlich alles gar nicht notwendig , da hat der User NorbertFe völlig recht. Der von Sunny61 gesetzte Link ist da ansonsten recht erschöpfend.Wie ich das aber verstanden habe, ging es ja nicht alleine nur darum. Mit dem RMS (was von mir fälschlicherweise als DFS bezeichnet wurde) habe ich einfach schon mal einen Schritt weiter gedacht, da ich in einem MCSE Forum neben gewissen Grundkenntnissen (MCSA) auch frech davon ausgehe, dass die gestellten Fragen auch mal in einem professionellen und produktiven Serverumfeld umgesetzt werden sollen. Und da wird man auf längere Hinsicht kaum um GPO, RMS und DFS herumkommen. Es sei denn man hat zu viel Freizeit ;) @Newbie Die Gruppenstruktur würde ich nach dem A G DL P -Prinzips (Rollenbaisertes Berechtigungskonzept) aufbauen. Dadurch erhält man eine sehr effiziente Gruppenverschachtlung, die den Arbeitsaufwand deutlich verringert, eine hohe Transparenz über die Berechtigungen schafft, als auch den Replikationsverkehr im Netz verringert. Sprich performance- und ressourcenschonend ist. Auch werden so die Einträge in der ACL gering gehalten. Dies entspricht der Best-Practice-Empfehlung, aber es ist wegen des Tokensize Problem nicht immer ratsam. Dennoch würde ich persönlich nicht davon abweichen wollen, da der Tokensize in der Registry bei den meisten Applikationen angepasst werden kann. Vorausschauendes Arbeiten wäre also sehr sinnvoll. Abraten würde ich persönlich von einer direkten Berechtigungsvergabe, da dies stark zu einer Intransparenz beiträgt, also alles andere als übersichtlich ist. Dies dann über die Windows-Bordmitteln noch nachvollziehen zu wollen, wird bei einer gewissen Anzahl von Gruppen und Usern, ein aufwendiges und manchmal auch unmögliches Unterfangen. Alternativen die man vielleicht kennen sollte sind : A-G-G-P/A-G-P und A-G-U-P/A-U-P Allgemein ist von einer Struktur über 4 Verschachtlungen (Ebenen) abzuraten. Es lohnt immer Zeit in sein Berechtigungskonzept zu investieren, das erleichtert das Leben danach ungemein. ;) Dieser Step by Step Guide sollte dir weiterhelfen: http://technet.microsoft.com/de-de/library/cc732863%28v=ws.10%29.aspx

Servus ajuranah, Kommt wohl auf die eigenen vorgenommen Einstellungen an. Grundsätzlich hat der Ersteller, als auch die System- und Administratorengruppe, Vollzugriff auf neu erstellte Ordner. Natürlich kann man diese Berechtigungen nach belieben verändern. Der lokale Admin (Superuser) kann sich sogar selbst den Zugriff verweigern, respektive einschränken. Das macht auch durchaus Sinn. Dies realisiert man besten über eine GPO. Dort würde ich einfach ein Laufwerk mappen der den Ordner beinhaltet - und nur für Gruppen mit entsprechenden Rechten einsehbar ist. Auch das DFS zwingt sich hier meiner Meinung nach geradezu auf.