Renator 10 Geschrieben 14. Dezember 2010 Melden Teilen Geschrieben 14. Dezember 2010 (bearbeitet) Hallo! Ich suche nach einer ordentlichen Lösung für eine Rechteverwaltung von Ordnerstrukturen, vielleicht auch eher nach einer ordentlichen Art und Weise dies zu verwalten. Grundsätzlich erlaube ich über die OrdnerFREIGABE jedem immer alle Rechte und löse die sonstigen Rechte über NTFS Berechtigung. Bei abteilungs- bzw. positionsbezogenen Ordner ist hier auch kein Problem: Entweder ein Benutzer in der Gruppe der Abteilung oder der Position oder eben nicht: Er hat Rechte oder eben nicht. Allerdings gibt es bei uns ein Netzwerklaufwerk mit den Unterlagen zu den laufenden Projekten. Da es häufig vorkommt, dass man Daten von alten Projekten wiederverwenden kann hat hier auch erst einmal jeder Zugriff. Nun gibt es meinetwegen 100 Projekte. Ab und zu tritt der Spezialfall auf, dass irgendwelche Freelancer nur auf 1 oder 2 Projekte zugreifen dürfen. Ich verweigere diesen dann alle Rechte auf den anderen Projekten, was 1. sehr viel Aufwand und 2. ziemlich lange dauert bis der Server 1TB an Daten durchgeeiert hat. Unangenehm ist die ganze Geschichte auch bei den öffentlichen Ordnern im Exchange. Hier ist mir noch gar nichts eingefallen^^ Wie bekomme ich das schöner und vor allem verwaltungstechnisch leichter gelöst? Mir fällt da nichts sinnvolles ein... Vielleicht hat jemand von euch eine schönere Lösung! Danke! bearbeitet 14. Dezember 2010 von Renator Zitieren Link zu diesem Kommentar
NilsK 2.793 Geschrieben 14. Dezember 2010 Melden Teilen Geschrieben 14. Dezember 2010 Moin, in dem Fall ist der sinnvollste Weg ein rollenbasiertes Konzept. Mit Hilfe domänenlokaler Gruppen definierst du positiv die Zugriffsrechte pro Projekt: DL-Projekt1-Lesen, DL-Projekt2-Lesen usw. Nur diese Gruppen bekommen die passenden Zugriffsrechte. Dann steckst du die Globalen Gruppen, in denen die User organisiert sind, in die Gruppen. Die ACLs musst du dann nie wieder anfassen. Das erzeugt natürlich ziemlich hohen Umstellungsaufwand, und man wird es in der Praxis auch nicht zu 100% durchhalten. Es ist aber in den meisten Situationen der beste Weg, weil dadurch auch die Dokumentation erheblich leichter wird. Gruß, Nils Zitieren Link zu diesem Kommentar
Renator 10 Geschrieben 15. Dezember 2010 Autor Melden Teilen Geschrieben 15. Dezember 2010 Ja, sowas in der Art ist mir heute Nacht auch eingefallen... pro Projekt jeweils Gruppen mit lesen, schreiben und Deny erstellen. Dann den Gruppen entsprechende Rechte geben. Und wenn dann jemand wirklich irgendwo nicht drauf darf: Ab in die entsprechenden Deny Gruppen. Herrje, da bin ich ewig beschäftigt. Zitieren Link zu diesem Kommentar
Cybquest 36 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 Für was die Deny-Gruppe? Wenn jemand nicht in der entspr. Projektgruppe drin ist, bekommt er ja keinen Zugriff. Ich würde das vermutlich geschachtelt machen: - Zunächst die Gruppen wie Nils beschrieben hat - in die globalen Gruppen die User, die nur auf einzelne Projekte Zugriff haben, sowie globale Gruppen für ganze Bereiche (z.B. interne User, die alle Projekte lesen dürfen) Zitieren Link zu diesem Kommentar
Renator 10 Geschrieben 15. Dezember 2010 Autor Melden Teilen Geschrieben 15. Dezember 2010 Ja, schon klar. Aber nachdem eher die Minderheit auf irgendwas nicht zugreifen darf auf diesem speziellen Laufwerk, finde ich das Ganze umgekehrt zu gestalten irgendwie besser. Vielleicht lege ich auch einfach mal beide Varianten als Gruppen an. Ob nun eine mehr oder weniger je Projekt ist dann auch egal^^ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.