-rk- 10 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 Ich habe kürzlich eine neue Domäne gemäß AGDLP aufgesetzt. Und läuft auch generell ganz gut. Jetzt kommt aber die Chefetage und jetzt muss das Konzept geändert bzw. erweitert werden. Und zwar mit abteilungsübergreifenden Berechtigungen. Ein Beispiel: Verträge z. B. liegen unter [\\server\abteilung\GF]\orga\docs\Vertraege und sind immer vertraulich (sprich geheim) [] entspricht der Freigabe auf der die Userrechte liegen. Jetzt gibt es aber (einige wenige) Verträge, die auch von Usern anderer Abteilungen bzw. Bereiche eingesehen werden müssen. So müssen die User der Freigabe [\\server\abteilung\Entwicklung] auf einige Verträge unter \\server\abteilung\GF\orga\docs\Vertraege\entwicklung-*.doc zugreifen und der Vertrieb [\\server\abteilung\Vertrieb] braucht das Wissen um die Inhalte der Verträge aus \\server\abteilung\GF\orga\docs\Vertraege\werbepartner-*.doc. Die Dokumente duplizieren oder per Softlink verteilen, möchte man nicht. In anderen Abteilungen gibt es ähnliche Wünsche nach Querberechtigungen. ich bin für Vorschläge dankbar, wie solche Wünsche nachhaltig und gut dokumentierbar gelöst werden können. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 Mit dem Windows Server 2012 und Dynamic Access Control ist so was möglich ;) Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 Moin, da ein Austausch großer Teiler der Infrastruktur dafür wahrscheinlich nicht in Frage kommt: Wenn es handhabbar sein soll, sollte man Ressourcen mit denselben Zugriffsanforderungen in denselben Ordnern zusammenfassen. So kann man dann die Zugriffsrechte auf Ordnerebene setzen und das AGDLP-Prinzip beibehalten. Jeder Ansatz auf Basis einzelner Elemente führt sehr schnell ins Chaos und zu organisatorischen Problemen. Gruß, Nils Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 Ich würde das auf jeden Fall freigabetechnisch abgrenzen. Sprich: Unterhalb von ..\Vertraege Unterordner anlegen und die Dateien dort rein schieben. Den Unterordner wiederum frei geben mit entsprechenden Berechtigungen. So gibt es die Daten nur ein mal und die GF findet sie an zentraler Stelle. Denn stell Dir mal vor, Du benutzt für alle den gleichen Ordner und bei der Berechtigungsvergabe auf eine vertrauenswürdige Datei geht irgendwas schief (z.B. wird versehentlich eine Kopie gespeichert, auf die dann vielleicht alle Zugriff haben). Mit verschiedenen Ordnern hättest Du eine höhere Sicherheit. Zitieren Link zu diesem Kommentar
bla!zilla 10 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 ...oder statt Fileserver eine Migration in Richtung ECM überlegen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. September 2012 Melden Teilen Geschrieben 14. September 2012 Ich habe habe dieses Ressortdenken weitgehend abgeschafft, gespeichert wird in Projektordnern, nur Member der Sicherheitsgruppe des Projektes haben Zugriff auf den Ordner. Diese Ordner sind nicht freigegeben, sie sind Sub eines Baumes, dieser ist freigegeben. Dank ABE bleiben Unberechtigten auch die anderen Projektordner verborgen. Besitzer des Projektordners und Verwalter der Daten ist der Projektleiter, der ist für die Feinjustierung verantwortlich. Zitieren Link zu diesem Kommentar
-rk- 10 Geschrieben 16. September 2012 Autor Melden Teilen Geschrieben 16. September 2012 ...oder statt Fileserver eine Migration in Richtung ECM überlegen. Bei der Überlegung bin ich auch. Kommt aber frühestens 2013. Zitieren Link zu diesem Kommentar
-rk- 10 Geschrieben 16. September 2012 Autor Melden Teilen Geschrieben 16. September 2012 Ich habe habe dieses Ressortdenken weitgehend abgeschafft, gespeichert wird in Projektordnern, nur Member der Sicherheitsgruppe des Projektes haben Zugriff auf den Ordner. ... Ja, so hatte ich mir das auch gedacht. Aber dann kann die Aufgabe, der Abteilungsleitung Entwicklung und dem Vertrieb projektübergreifend Zugriff auf alle Verträge der IT-Dienstleister zu gewähren, damit die bei Kalkulationen die Rahmenvertragsdetails berücksichtigen können. Und schon wird es leider unscharf, weil z. B. der Vertrieb in den eigentlichen Projekten nichts (mehr) zu suchen hat. Zitieren Link zu diesem Kommentar
-rk- 10 Geschrieben 16. September 2012 Autor Melden Teilen Geschrieben 16. September 2012 Moin, Wenn es handhabbar sein soll, sollte man Ressourcen mit denselben Zugriffsanforderungen in denselben Ordnern zusammenfassen. So kann man dann die Zugriffsrechte auf Ordnerebene setzen und das AGDLP-Prinzip beibehalten... Gruß, Nils Ja, ich denke, dass ich genau so vorgehen werde. Danke. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.