judith 10 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Hi, ich muss da mal nachfragen, wie ihr das machen würdet. Habe hier einen 2008R2, der jetzt einige Monate brav als Mitgliedsserver werkelt. Darauf sind Verzeichnisse und Unterverzeichnisse wild verschachtelt. Das ist leider so übernommen worden vom "gestorbenen 2003er Server". Bisher haben da alle Vollzugriff auf Freigabseite und Vollzugriff auf NTFS. Jetzt plötzlich sollen in dieser Verschachtelung einzelne Ordner nur bestimmten Personen zugeordnet werden. Ich habe vorgeschlagen, die Ordner herauszunehmen und so eine neue Stuktur zu ermöglichen, will ab er der Große Meister nicht. Basta wie einst Schröder und somit Ende der Diskussion. Doch was nun? Ist es ratsam mit Verweigerungsrechten zu arbeiten?:confused: Alles andere wäre bei so vielen Benutzern eine Heidenarbeit. Vorschläge nehme ich gerne entgegen. judith - Jetzt wieder zu Haus - Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Moin, Berechtigungen sollte man gruppenbasiert aufbauen, idealerweise nach dem A-G-DL-P-Prinzip. Dazu sollte die Boardsuche einiges ausgeben. Verweigerungen nur im ärgsten Ausnahmefall. Benutzerbezogene Berechtigungen vermeiden. Gruß, Nils Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 12. Januar 2010 Autor Melden Teilen Geschrieben 12. Januar 2010 Hi Niels, habe da bei Jusuf schon nachgelesen, jedoch bin ich etwas verwirrt, weil da folgendes steht: "Zusammenfassend lässt sich sagen, dass A-G-DL-P-Prinzip, arbeitet nicht mit lokalen, sondern mit domänenlokalen Gruppen (solchen, die im Active Directory gespeichert sind) und funktioniert nur im native Mode, da im mixed Mode die domänenlokalen Gruppen nur auf den DCs eingesetzt werden können. Erst im native Mode stehen die DL-Gruppen auf allen Domänenmitgliedern zur Verfügung". Es ist aber nur ein normaler Mitgliedsserver, alles ohne Domäne installiert. Wo ist mein Denkfehler? judith Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Ok, dann liegt hier scheinbar ein kleines "Kommunikationsproblem" vor. Du hast also keinen Mitgliedsserver, sondern einen Stand-Alone-Server in einer Workgroup. Die Formulierung "Mitgliedsserver" intoniert, dass du eine Domäne hast, in der dieser Server Mitglied ist, daher der logische Schluss von Nils, dich auf das A-G-DL-P-Prinzip zu lenken. Beschreib doch mal ein wenig ausführlicher deinen Aufbau und wie die Nutzer momentan gegen den Server authentifiziert werden. Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 12. Januar 2010 Autor Melden Teilen Geschrieben 12. Januar 2010 Ok, dann liegt hier scheinbar ein kleines "Kommunikationsproblem" vor. Du hast also keinen Mitgliedsserver, sondern einen Stand-Alone-Server in einer Workgroup. Die Formulierung "Mitgliedsserver" intoniert, dass du eine Domäne hast, in der dieser Server Mitglied ist, daher der logische Schluss von Nils, dich auf das A-G-DL-P-Prinzip zu lenken. Beschreib doch mal ein wenig ausführlicher deinen Aufbau und wie die Nutzer momentan gegen den Server authentifiziert werden. :shock: Au Backe. War wohl zu lange weg aus dem Milieu! Eigentlich die letzten Jahre primär bei der Walldorf-Fraktion tätig in einem anderen Bereich des Unternehmens. Bitte um Entschuldigung. Zum Aufbau - so etwa aus der Erinnerung: Es sind insgesamt 6 Server, 5x 2003R2 und 1 2008R2, alle lediglich Stand-allone. Konstruktion und Entwicklung Maschinenbau. Die Benutzer greifen auf die Freigaben zu. Und das auch in unterschiedlichen Subnetzen, also nicht generell auf alle Server sondern nur auf ausgewählte. Das ist eine absolut unmögliche Umgebung hier, keine Logik von A bis Z. Es gibt keinerlei Strukturen. Daß das alles "fast" ohne Probleme bisher gelaufen ist, wirkt Wunder. Die Einschränkung soll jedoch nur für den 2008er gelten, beim Rest bleibt alles wie gehabt. Wollte eine Domäne einrichten und zusammen mit den beiden "Admins" die hier werkeln, das machen. Die haben aber keinerlei Ausbildung. War bisher auch nicht notwendig, weil alle daselbe machen durften. Das Werk bleibt auch weiterhin autark und soll nicht in die Gesamtstruktur eingebettet werden. Nicht kopfschütteln, ich kann es nicht ändern. Bin derzeit nicht im Unternehmen, will deshalb auch nichts falsches in die Welt setzen. Wird mein Problem etwas verständlicher? judith Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 12. Januar 2010 Melden Teilen Geschrieben 12. Januar 2010 Hi Judith Eigentlich die letzten Jahre primär bei der Walldorf-Fraktion tätig in einem anderen Bereich des Unternehmens.Bitte um Entschuldigung. Ansich ist das ja nicht zu entschuldigen ;) Aber niemand ist perfekt. :D Nur für's Verständnis frage ich nochmal nach: Wie habt ihr die Berechtigungen geregelt? Habt ihr alle Benutzer, die auf den PC's als (wahrscheinlich) lokale Benutzer eingerichtet sind auch auf allen Servern mit den selben Kennworten angelegt oder wie habt ihr das geregelt? Grundlegend würde ich den Ansatz einer eigenen Domäne oder des Eingliederns in die Gesamtstuktur eures Unternehmens weiterhin verfolgen. Damit macht ihr euch einige Sachen leichter, besser und vorallem sicherer. weil alle daselbe machen durften Lass mich raten: jeder ist überall lokaler Admin? Wird mein Problem etwas verständlicher? Ja, nur leider auch nicht leichter handhabbar. Zitieren Link zu diesem Kommentar
judith 10 Geschrieben 13. Januar 2010 Autor Melden Teilen Geschrieben 13. Januar 2010 Hi, also nocheinmal zum Thema. Auf jedem Server sind die Benutzer eineln angelegt. Es gibt keinerlei Passwörter! Freigaben und Berechtigungen immer auf Vollzugriff. Lokaler Admin? - NA KLAR:cry: judith Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 13. Januar 2010 Melden Teilen Geschrieben 13. Januar 2010 Auf jedem Server sind die Benutzer eineln angelegt. Hallo! Na, das spart doch eine Menge Arbeit. :( Es gibt keinerlei Passwörter! :confused: Freigaben und Berechtigungen immer auf Vollzugriff. Lokaler Admin? - NA KLAR:cry: Da kann ich mich nur Carsten`s Aussage anschliessen. Nicht nur aus organisatorischen Gründen, sollte man dringend darüber nachdenken, eine Domäne mit enstsprechenden Gruppen zu errichten. Alles andere wäre Unsinn und vergeudete Zeit. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.