Jump to content
Sign in to follow this  
PappaDieter

Rechte für Mitarbeiter setzen

Recommended Posts

Wir haben eine gemischte Umgebung, hauptsächlich Novell, MS nur für SQL und Citrix.

Jetzt stellen wir komplett auf MS und AD um, und da habe ich gemerkt, dass mit dem vererbten Recht 'Ordnerinhalt auflisten' der gesamte Baum mit allen Dateinamen angezeigt wird, u.a. die Datei 'fristlose Kündigung Lieschen Müller.doc' beim Chef. Der NormalUser kann diese zwar nicht öffnen, aber der Name sagt genug.

Bei Novell haben wir einen LW-Buchstaben auf '\\Server\Daten-Volume\Daten gelegt' und den jeweiligen Nutzern die Zugriffsrechte auf die entsprechenden Unterordner gegeben. Im Explorer sieht man nur die relevante Baumstruktur zum User-Ordner, keine anderen Zweige und vor allem keine Dateien.

Ich müsste also im AD den einzelnen Hauptabteilungsleitern die Rechte auf den Pfad der entsprechenden Hauptabteilung, den Abteilungsleitern die Rechte auf die Abteilung und den Mitarbeitern die Rechte auf ihre Verzeichnisse geben.

Gleichzeitig muss ich den Mitarbeitern zwar die (Lese)Rechte auf Hauptabteilung und Abteilung geben, diese aber für die anderen Abteilungen explizit entziehen, ein irrsinniger Aufwand bei ca. 100 Usern.

Geht das nicht einfacher?

 

Für einen Tip wäre ich sehr dankbar

 

Dieter

Share this post


Link to post

Yep, ABE ist das, was wir Novell-Geschädigten immer als erstes suchen :) Leider arbeitet es nur auf Freigaben. Es wäre ein Traum, wenn es eine stinknormale, vererbbare Ordnereigenschaft sein könnte ...

Share this post


Link to post
Yep, ABE ist das, was wir Novell-Geschädigten immer als erstes suchen :) Leider arbeitet es nur auf Freigaben. Es wäre ein Traum, wenn es eine stinknormale, vererbbare Ordnereigenschaft sein könnte ...

 

Warum? Wo ist der Unterschied? Wenn der User kein Recht hat die Datei zu lesen wird sie auch nicht angezeigt, oder seh ich grad was falsch?

 

Bye

Norbert

Share this post


Link to post

Hmmm. Es geht mir um so eine typische Datenorganisation, "Daten" sei die Freigabe und ABE darauf eingeschaltet:

 

\\server\daten\Abteilung 1\

\\server\daten\Abteilung 2\

 

Angenommen, alle User verbinden sich "\\server\daten" als Laufwerk. Weiter angenommen, Abteilung 1/2 sind jeweils genau nur auf ihre Ordner berechtigt. Ich habe es nicht getestet, aber Mitarbeiter der Abteilung 1 werden das Verzeichnis "Abteilung 2" dann sehen und "Zugriff verweigert" bekommen.

 

Das hieße, um es genau so wie bei Novell hinzubekommen (da würde Abt1 Abt2 nicht sehen), für jeden Organisationsbereich eigene Freigaben haben.

Share this post


Link to post
Hmmm. Es geht mir um so eine typische Datenorganisation, "Daten" sei die Freigabe und ABE darauf eingeschaltet:

 

\\server\daten\Abteilung 1\

\\server\daten\Abteilung 2\

 

Angenommen, alle User verbinden sich "\\server\daten" als Laufwerk. Weiter angenommen, Abteilung 1/2 sind jeweils genau nur auf ihre Ordner berechtigt. Ich habe es nicht getestet, aber Mitarbeiter der Abteilung 1 werden das Verzeichnis "Abteilung 2" dann sehen und "Zugriff verweigert" bekommen.

 

Nein werden sie nicht. Genau dazu ist ABE ja da.

 

Das hieße, um es genau so wie bei Novell hinzubekommen (da würde Abt1 Abt2 nicht sehen), müsste man für jeden Organisationsbereich eigene Freigaben haben.

 

Falsch.

 

Bye

Norbert

Share this post


Link to post
Angenommen, alle User verbinden sich "\\server\daten" als Laufwerk. Weiter angenommen, Abteilung 1/2 sind jeweils genau nur auf ihre Ordner berechtigt. Ich habe es nicht getestet, aber Mitarbeiter der Abteilung 1 werden das Verzeichnis "Abteilung 2" dann sehen und "Zugriff verweigert" bekommen.

 

Meine Vermutung ist lt. Access-based Enumeration - Inhaltsanzeige von Fileserver-Freigaben auf Unterordner mit Zugriffsberechtigungen eingrenzen falsch. Also doch alles bestens! :)

Share this post


Link to post

Hallo, ich habe jetzt ausgiebig getestet. abe sollte gehen, und geht auch teilweise, wenn man die Gruppe der Benutzer mit 'Ordnerinhalt auflisten' versieht.

Allerdings sehe ich dann trotzdem alle Unterordner. Wenn ich in den erweiterten Eigenschaften die Rechte bis auf 'Ordner auflisten' entziehe, sehe ich keine Unterordner mehr, kann aber in der Adresszeile direkt den Ordner des Mitarbeiters erreichen.

 

Ich habe das Verzeichnis 'Daten' mit Freigabe für 'Jeder' und eingeschaltetem abe.

Daten - FB1 - FD11 - Allgemein11, MA111, MA112, MA113

- FD12 - Allgemein12, MA121, MA122, MA123

- FD13 - Allgemein13, MA131, MA132, MA133

Daten - FB2 und FB3 analog aufgebaut.

An Benutzern habe ich BOSS, FB1, FB2, FB3, FD11, FD12,FD13, MA111, MA112, MA113 usw.

Gruppen GFD11 (Ma111, MA112, MA113), GFD12, GFD13 etc.

BOSS soll alles sehen, FB1 nur FB1 und darunter, FD11 nur FD11 und darunter, GFD11 nur Allgemein11, MA111 nur MA111.

Nun haben die Leiter (BOSS, FB's und FD's) nur die drei Standard-Rechte zum Lesen auf die jeweiligen Hauptverzeichnisse samt Unterordnern, MA111 hat Vollzugriff auf MA111, GFD11 hat Vollzugriff auf Allgemein11.

 

Ich kann aber als MA111 weder die Dateien in MA111 und Allgemein11 bearbeiten, trotz Vollzugriff.

Entweder ist mein Denkansatz falsch, oder das Ganze funktioniert nur mit einer Ebene unterhalb der Freigabe.

 

Irgendein Tip dazu? Ich habe an dieser 'Spielwiese' schon einiges ausprobiert, nur ohne durchschlagenden Erfolg.

 

ERGÄNZUNG:

Wenn ich bei der Freigabe selbst 'Jeder' auf 'Vollzugriff' setze, kann ich auch schreiben.

Die Rechtevergabe ala Novell funktioniert, wenn ich dem Nutzer 'Ma111' die Rechte auf 'FB1' und 'FD11' (also beide Zwischenstrukturen) gebe. Auf die Freigabe hat 'Benutzer' das Recht 'auflisten'.

Damit habe ich bei unserer dreistufigen Struktur viel Arbeit mit der Rechtevergabe.

 

ICH WILL MEINE NETWARE WIEDERHABEN

Edited by PappaDieter

Share this post


Link to post

Erst mal grundsätzlich...wenn du in den Freigaberechten keine Änderungsrechte hast, dann kannst du auch über die freigabe nichts ändern...

 

 

zu deinem anliegen:

Daten - FB1 - FD11 - Allgemein11, MA111, MA112, MA113

- FD12 - Allgemein12, MA121, MA122, MA123

- FD13 - Allgemein13, MA131, MA132, MA133

 

Freigaberechte auf Jeder auf Ändern

ABE an

 

Alle deine Benutzer brauchen Lesezugriff auf Daten

Auf FB1 Unterbrichst du die vererbung (wahlweise hast du auf Daten die Rechte auch nur auf diesen Ordner gesetzt), hier brauchen alle GFDx Gruppen Leserechte

Bei FD11 machst dus wie bei FB1 (vererbung unterbrechen), hier braucht dann dann die entsprechende GFD Gruppe die Rechte die du dort für die haben willst (ich nehm mal an Änderungsrechte)

 

 

Hoffe dich richtig verstanden zu haben...

Share this post


Link to post

Wir haben das mit mit DFS und einem cacls Script gelöst.

 

Grundsätzlich hast du den Verzeichnisbaum mit den Ordnern für jede Abteilung. Für jedes Teamverzeichnis ist eine lokale und globale Gruppe erstellt worden. lokale Gruppe wird in Ordner berechtigt, globale Gruppe auf die lokale, User werden in die globale Gruppe berechtigt.

 

Im DFS wird der entsprechende Link erstellt und im cacls script werden die globalen Gruppen hinterlegt welche auf den entsprechenden DFS link Zugriff haben.

 

Dem User wird ein Laufwerk gemappt und der User soeht nun nur noch seine Ordner und muss nicht noch bis zu seinem Ordner etc navigieren.

 

Ev wäre das auch noch eine interessante Möglichkeit für dich.

Share this post


Link to post

Moin,

 

Wenn ich bei der Freigabe selbst 'Jeder' auf 'Vollzugriff' setze, kann ich auch schreiben.

 

klar. Wenn auf der Freigabeebene kein Schreibrecht besteht, wird man es auch durch NTFS-Rechte darunter nicht erhalten. Daher lautet die Empfehlung ja auch, die Freigaberechte "wegzulassen" (also "Jeder: Vollzugriff" zu setzen, bekannt als "Null-ACL"), sodass die NTFS-Berechtigungen allein gültig sind.

 

ICH WILL MEINE NETWARE WIEDERHABEN

 

Nur zu. Wir hindern dich gewiss nicht. Vielleicht noch den Kaiser Friedrich dazu?

 

Gruß, Nils

Share this post


Link to post

Ich habe das jetzt so gelöst:

auf Freigabe 'Daten' 'Jeder-Vollzugriff' (auf die Idee war ich nicht gekommen, gut, dass wir einen Ex-Lehrling haben, der die Schulkabinette betreut und sich mit Windows-Servern auskennt).

- FB1 (MA111,Dom/Benutzer 'auflisten'; enterbt)

- FD11 (MA111,Dom/Benutzer 'auflisten';enterbt)

- Allgemein11 (MA111 'vollzugriff')

- MA111 (MA111 'vollzugriff')

- FD12 (nur Admin, System, Besitzer)

- FD13 (nur Admin, System, Besitzer)

- FB2 (Dom/Benutzer 'auflisten'; enterbt)

- FB3 (Dom/Bernutzer 'auflisten'; enterbt)

Da die Vererbung bei FB2 und FB3 erst nachträglich aufgehoben wurde, hat 'Dom/Benutzer' in allen Unterverzeichnissen 'auflisten'.

Was sieht nun MA111? Die Ordnerstruktur Daten\FB1\Fd11 und dort 'MA111' und 'Allgemein11'; außerdem FB2 und FB3, weil da ja 'Dom\Benutzer' listrechte hat.

Fazit: geht wie früher, aber dreifacher Aufwand.

 

Alternative Idee:

Es gibt folgende Freigaben:

Daten, FB1, FB2, FD3, FD11, FD12, FD13, FD21 usw.

Der Laufwerksbuchstabe wird den Benutzern individuell zugeordnet (Boss kriegt Daten, FB1 kriegt FB1, FD11 kriegt FD11 usw.). Die Benutzerverzeichnisse (MA111 etc.) werden nicht freigegeben, sondern erhalten per Gruppenrecht auf die FDx-Freigaben listrechte.

Damit muss ich auf die übergeordneten Verzeichnisse nicht so viele Berechtigungen setzen. Der Aufwand ist also ca. 50% höher als bei Netware.

Was würde Kaiser Friedrich dazu sagen?

Mal im Ernst, Netware und vor allem die NDS ist schon eine feine Sache. Das gabs doch auch mal als eigenständiges Produkt ...

Aber die Politik von Novell erinnert mich an die von Digital Research, man kann auf MS schimpfen wie man will wegen der Vormachtstellung, aber wenn sich die Konkurrenz selber zerhackt, kann man Gates nicht die Schuld zuweisen.

Ich würde gern weiter die NDS auch in MS-Umgebung betreiben, habe aber große Bedenken wegen der Zukunftssicherheit der Lösung.

Edited by PappaDieter

Share this post


Link to post
Nur zu. Wir hindern dich gewiss nicht. Vielleicht noch den Kaiser Friedrich dazu?

 

Du kennst vermutlich Netware nicht? Für reine Dateidienste ist das aus administrativer Sicht schon etwas sehr feines. Schon seit Version 4. Ich kenne immer noch KMU, die Netware 4 nutzen. Herrlich, nwadmin.exe... Dass es auch Nachteile gibt (Profilhandling z.B.) ist eine andere Sache. Dennoch: Grundsolide, sowas. Uptimes im Jahresbereich.

 

Ich fand immer etwas komisch, warum MS keine so gute Rechteverwaltung hinbekommen hat. Dass so ein Windows Server viel mehr kann und sich MS auch sehr gut weiterentwickelt hat, ist auch klar. Deswegen macht Windows Server mir auch Spaß :)

Share this post


Link to post
Uptimes im Jahresbereich.

 

Hmm wenn ich nen Memberserver mit Dateidiensten hinstelle wird der wahrscheinlich ähnliche Werte erreichen. Ich hatte sowas mit Windows 2000 auch. Dass das aber schon aufgrund von Updates (davon solls unter Netware ja auch welche gegeben haben) nicht unbedingt sehr sinnvoll ist, lasse ich mal aussen vor. ;)

 

Bye

Norbert

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...