Benutzer im A-G-DL-P System pflegen

[h-d.neuenfeldt 21]

Hallo Zusammen,

 

ich baue mal wieder was Neues und hab hier im Forum was für mich Neues gelernt und will das nun ausprobieren.

 

Ich habe eine lange Liste User (A)

nach ihren Funktionen in Gruppen Sortiert (G)

 

meine Sicherheiten im Fileserver habe ich in lokalen Gruppen sortiert (DL)

 

Nun stehe ich aber vor dem Problem, dass eine Gruppe aus (G) auf die Ressource(P) nur lesend zugreifen darf, eine andere Gruppe aber lesend und schreibend.

 

Wenn ich beide Gruppen aus (G) in die zu (P) gehörende (DL) stecke, haben beide Gruppen dieselben Rechte auf (P).

 

Muss ich zum Trennen der Gruppen 2 DL zu (P) anlegen ????

 

[testperson 1.857]

Hi,

 

die Domänen lokale Gruppe stellt doch die Ressource samt Berechtigung dar. Also bleibt ja nix anderes als zwei DL zu erstellen, da du unterschiedliche Berechtigungen möchtest.

 

http://www.pflaum.org/eine-seite/optimale-gruppenverschachtelung/

 

Gruß

Jan

bearbeitet 1. Mai 2014 von testperson

[h-d.neuenfeldt 21]

Danke, kapiert ....

[h-d.neuenfeldt 21]

Hallo Zusammen,

 

ich habe die globalen Sicherheitsgruppen nun nach Standorten getrennt in verschiedene OUs abgelegt.

 

Nun habe ich das Problem : Wo sammele ich die Domänenlokalen Sicherheitsgruppen am besten ?

 

Wieder eine eigenständige OU oder einfach unter User oder noch wo anders ?

 

 

 

 

:confused: :confused: das hatte ich doch als neues Thema angelegt :confused: :confused:

bearbeitet 1. Mai 2014 von h-d.neuenfeldt

[h-d.neuenfeldt 21]

hmmmm, hat keiner einen Vorschlag aus der Rubrik "Best Practice" ???? :confused:

[NilsK 3.045]

Moin,

 

die OU-Struktur ist immer anforderungsabhängig, da gibt es in der Tiefe keine "Best Practice". Am besten ist, was die laufende Administration am besten unterstützt.

 

Also stell dir selbst die Frage: Wer muss in welchen Situationen an die Gruppen ran, und wie findet er sie dann am schnellsten und mit dem wenigsten Scroll- und Klickaufwand?

 

Gruß, Nils

[h-d.neuenfeldt 21]

http://helgeklein.com/setacl/documentation/command-line-version-setacl-exe/

zur Ergänzung für diejenigen, die es mal irgendwann vorhaben :

 

die Berechtigungen im Fileserver habe ich mit setacl.exe gemacht :

 

 

 

 

Unterbricht die Vererbung der Rechte von oben und übernimmt vererbte Rechte als Kopie :

Entspricht dem Ergebnis, wenn man auf dem Karteireiter Sicherheit --> erweitert die vererbbaren Berechtigungen abschaltet und beim folgenden aufpoppenden Festern "kopieren" anklickt:

    setacl -on <Verzeichnis> -ot file -actn setprot -op "dacl:p_c;sacl:p_c"

 

 

 

löscht einen Benutzer aus der Liste der kopierten Berechtigungen ACHTUNG : einen Benutzer der Rechte erbt kann nicht gelöscht werden

    setacl -on <Verzeichnis> -ot file -actn trustee -trst "n1:<Domäne\benutzername>;ta:remtrst;w:dacl,sacl" -rec cont_obj -ignoreerr

 

 

 

 

setzt eine GRUPPE in die Berechtigungsliste ein

Recht : ändern

    setacl -on <Verzeichnis> -ot file -actn ace -ace "n:<Domäne\Gruppenname>;p:change"

Recht : lesen

    setacl -on <Verzeichnis>  -ot file -actn ace -ace "n:<Domäne\Gruppenname>;p:read"

Recht : lesen+ausführen

    setacl -on <Verzeichnis>  -ot file -actn ace -ace "n:<Domäne\Gruppenname>;p:read_ex"

Recht : Vollzugriff

    setacl -on <Verzeichnis>  -ot file -actn ace -ace "n:<Domäne\Gruppenname>;p:full"

 

löscht Berechtigungen, die verwaist sind

    setacl -on <Verzeichnis> -ot file -actn delorphanedsids

bearbeitet 7. Mai 2014 von h-d.neuenfeldt

[daabm 1.428]

ich habe die globalen Sicherheitsgruppen nun nach Standorten getrennt in verschiedene OUs abgelegt.Nun habe ich das Problem : Wo sammele ich die Domänenlokalen Sicherheitsgruppen am besten ?

 

Wo Du Gruppen sammelst, ist völlig egal, wenn kein Exchange im Spiel ist... GPOs wirken nicht auf Gruppen, und wenn Du keine Berechtigungen delegieren mußt, dann erstelle einen Container "Sinnlose Gruppen" und steck sie da rein :D

[h-d.neuenfeldt 21]

Container "Sinnlose Gruppen" und steck sie 

Frechdachs ...

[daabm 1.428]

Warum? Stimmt doch :jau: SCNR... Ja ich weiß schon, mein Chef hasst mich auch manchmal dafür...