Kevin Flynn

@lefg

Hm, diese Aussagen erstaunen mich doch. Warum eine Freigabe über GPO?

Das schien mir mit der eleganteste und auch logischste Weg, das hier geforderten,  "einen Ordner in der Domäne freigeben und Zugriffsrechte nur für bestimmte, hier eine Sicherheitsgruppe, die zuvor in der AD erstellt wurde", umzusetzen.

Natürlich ist dies bei weitem nicht der einzige Weg.

 

Wie über GPO? Oder ist damit gemeint Netzlaufwerk per GPO?

Richtig, per GPO würde ich das Netzlaufwerk einbinden und dieses nur für die Gruppe mit entprechenden Privilegien sichtbar machen.

 

Und wozu DFS in diewsem Fall?

Das Verteilte Dateisystem könnte man an dieser Stelle sicherlich noch irgendwie schönreden, (siehe Kommentar von daabm  bezüglich des hochverfügbaren Zugriff auf geografisch verteilte Dateien"), aber um ehrlich zu sein, war dies einfach nur ein grober Verwechslungsfehler meinerseits. Gemeint war nämlich eigentlich der Rechteverwaltungsdienst (AD RMS). :)

Um nur NTFS Rechte für nur eine Gruppe auf einen Ordner zu vergeben, ist dies so natürlich alles gar nicht notwendig , da hat der User NorbertFe völlig recht.  Der von Sunny61 gesetzte Link ist da ansonsten recht erschöpfend.Wie ich das aber verstanden habe, ging es ja nicht alleine nur darum. Mit dem RMS (was von mir  fälschlicherweise als DFS bezeichnet wurde)  habe ich einfach schon mal einen Schritt weiter gedacht, da ich in einem MCSE Forum neben gewissen Grundkenntnissen (MCSA) auch frech davon ausgehe, dass die gestellten Fragen auch mal in einem professionellen und produktiven Serverumfeld umgesetzt werden sollen. Und da wird man auf längere Hinsicht kaum um GPO, RMS und DFS herumkommen. Es sei denn man hat zu viel Freizeit ;)

@Newbie

Servus Kevin Flynn,

 

ich habe mich die letzte Nacht intensiv mit NTFS und Freigaben und Sicherheitsgruppen etc. auseinandergesetzt. An der Stelle noch mal Danke an Sunny für den Link zu faq-o-matic, die Seite ist nen Traum!

 

Kevin, könntest du evtl. paar Beispiele nennen, wie die NTFS Rechte aus deiner Sicht konfiguriert werden sollten. Wie konfigurierst du die NTFS-Rechte denn und warum? Das würde mich interessieren.

 

 

Die Gruppenstruktur  würde ich nach dem A G DL P -Prinzips  (Rollenbaisertes Berechtigungskonzept) aufbauen. Dadurch erhält man eine sehr effiziente Gruppenverschachtlung, die den Arbeitsaufwand deutlich verringert, eine hohe Transparenz  über die Berechtigungen schafft, als auch den Replikationsverkehr im Netz verringert. Sprich performance- und ressourcenschonend ist. Auch werden so die Einträge in der ACL gering gehalten.

Dies entspricht der Best-Practice-Empfehlung, aber es ist wegen des Tokensize Problem nicht immer ratsam. 

Dennoch würde ich persönlich nicht davon abweichen wollen, da der Tokensize in der Registry bei den meisten Applikationen angepasst werden kann. Vorausschauendes Arbeiten wäre also sehr sinnvoll.

Abraten würde ich persönlich von einer direkten Berechtigungsvergabe, da dies stark zu einer Intransparenz beiträgt, also alles andere als übersichtlich ist. Dies dann über die Windows-Bordmitteln noch nachvollziehen zu wollen, wird bei einer gewissen Anzahl von Gruppen und Usern, ein aufwendiges und manchmal auch unmögliches Unterfangen.

Alternativen die man vielleicht kennen sollte sind :

A-G-G-P/A-G-P und A-G-U-P/A-U-P

Allgemein ist von einer Struktur über 4 Verschachtlungen (Ebenen) abzuraten.

Es lohnt immer Zeit in sein Berechtigungskonzept zu investieren, das erleichtert das Leben danach ungemein. ;)

 

Ich habe einen Windows 2008R2-Server (Enterprise) zum DC gemacht und konnte nur Dateidienste auswählen. Ich kann die Rolle DFS nicht finden. Wo versteckt nen die sich? Oder muss ich einen weiteren Server dazu aufsetzen?

 Dieser Step by Step Guide sollte dir weiterhelfen:

http://technet.microsoft.com/de-de/library/cc732863%28v=ws.10%29.aspx

Servus ajuranah,

Bis auf das ich bisher nicht herausbekommen konnte, wozu diese Gruppen gut sein sollen, eigentlich nichts! :)

Kommt wohl auf die eigenen vorgenommen  Einstellungen an.

Grundsätzlich hat der Ersteller, als auch die System- und  Administratorengruppe, Vollzugriff auf neu erstellte Ordner.

Natürlich kann man diese Berechtigungen nach belieben verändern. Der lokale Admin (Superuser) kann sich sogar selbst den Zugriff verweigern, respektive einschränken.

Das macht auch durchaus Sinn.

 

Moin! Ich möchte einen Ordner in der Domäne freigeben. Nur bestimmte Sicherheitsgruppen, die ich zuvor im AD erstellt habe, sollen Zugriff auf diesen Ordner haben.

Dies realisiert man besten über eine GPO. Dort würde ich einfach ein Laufwerk mappen der den Ordner beinhaltet - und nur für Gruppen mit entsprechenden Rechten einsehbar ist. Auch das DFS zwingt sich hier meiner Meinung nach geradezu auf.