AlbertMinrich 12 Geschrieben 17. Mai 2015 Melden Teilen Geschrieben 17. Mai 2015 Hallo, ich hätte mal eine Frage zu richtigen Vorgehenseweise, wenn eine Gruppe Zugriff auf einen Ordner bekommen soll, der weiter unten in einer Ordnerstruktur liegt. Das wird jetzt etwas länger. Sorry, aber vielleicht mag es sich jemand antun. Beispiel: Es gibt die Freigabe \\Server1\Europa Freigabeberechtigung: Jeder:Modify NTFS-Berechtigung: Gruppe Europa:Modify Unterhalb gibt es u.a. diese Unterordner: \Deutschland\Bayern\Oberbayern\Muenchen Jetzt bekommt die Gruppe Muenchen_M (deren Mitglieder nicht bereits in der Gruppe Europa enthalten sind) Modify-Rechte auf den Ordner Muenchen. Das bringt den Mitgliedern der Gruppe erstmal noch nichts, weil sie mangels fehlender Rechte auf die übergeordneten Ordner nicht an den Ordner Muenchen rankommen. Dafür gibts mehrere Lösungen: - die User bekommen eine Verknüpfung, die direkt nach Muenchen zeigt - man hängt Muenchen in eine DFS-Struktur ein - man arbeitet mit List-Berechtigungen bzw. List-Gruppen Mir gehts jetzt mal um die Lösung mit List-Gruppen. Wenn man nach NTFS BestPractises sucht, stößt man sehr schnell auf die Firma aikux mit den Produkten 8Man und Migraven. Dazu gibts einige Videos. In diesem hier http://www.migraven.com/videos/webinarvideos/best-practice-ntfs-berechtigungen/ ist ab 29:40 die Sache mit den List-Gruppen beschrieben. Auf mein Beispiel bezogen würde das folgende Gruppen und Berechtigungen bedeuten: - auf Ebene \\Server01\Europa bekommt eine Gruppe Europa_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied - auf Ebene \\Server01\Europa\Deutschland bekommt eine Gruppe Deutschland_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied - auf Ebene \\Server01\Europa\Deutschland\Bayern bekommt die Gruppe Muenchen_M List-Berechtigung - auf Ebene \\Server01\Europa\Deutschland\Bayern\Oberbayern bekommt die Gruppe Muenchen_M List-Berechtigung D.h., es wird nicht durchgängig mit List-Gruppen gearbeitet, sondern nur bis zur Hälfte der Ordnerstruktur. Begründet wird das mit einer gesunden Mischung aus der Anzahl der benötigten Gruppen und der notwendigen ACL-Änderungen, also eine Mischung aus diesen beiden Extremen: Extrem 1 (viele Gruppen): - auf Ebene \\Server01\Europa bekommt eine Gruppe Europa_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied - auf Ebene \\Server01\Europa\Deutschland bekommt eine Gruppe Deutschland_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied - auf Ebene \\Server01\Europa\Deutschland\Bayern bekommt eine Gruppe Bayern_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied - auf Ebene \\Server01\Europa\Deutschland\Bayern\Oberbayern bekommt eine Gruppe Oberbayern_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied Extrem 2 (viele ACL-Änderungen): - auf Ebene \\Server01\Europa bekommt die Gruppe Muenchen_M List-Berechtigung - auf Ebene \\Server01\Europa\Deutschland bekommt die Gruppe Muenchen_M List-Berechtigung - auf Ebene \\Server01\Europa\Deutschland\Bayern bekommt die Gruppe Muenchen_M List-Berechtigung - auf Ebene \\Server01\Europa\Deutschland\Bayern\Oberbayern bekommt die Gruppe Muenchen_M List-Berechtigung Ich hab irgendwann noch von einer anderen Variante gelesen (die nicht in dem Video vorkommt). Für jede Ebene wird eine List-Gruppe erstellt. Jede List-Gruppe wird in der direkt darüber liegenden List-Gruppe Mitglied, in der List-Gruppe der untersten Ebene schliesslich wird die eigentliche Berechtigungsgruppe Mitglied. Auf mein Beispiel bezogen: - auf Ebene \\Server01\Europa bekommt eine Gruppe Europa_L List-Berechtigung, in dieser wird die Gruppe Deutschland_L Mitglied - auf Ebene \\Server01\Europa\Deutschland bekommt eine Gruppe Deutschland_L List-Berechtigung, in dieser wird die Gruppe Bayern_L Mitglied - auf Ebene \\Server01\Europa\Deutschland\Bayern bekommt eine Gruppe Bayern_L List-Berechtigung, in dieser wird die Gruppe Oberbayern_L Mitglied - auf Ebene \\Server01\Europa\Deutschland\Bayern\Oberbayern bekommt eine Gruppe Oberbayern_L List-Berechtigung, in dieser wird die Gruppe Muenchen_M Mitglied Wie macht ihr es? Danke und Gruß Martin Zitieren Link zu diesem Kommentar
NilsK 2.781 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Moin, solche Konstrukte sind schnell sehr komplex und führen noch schneller in die Irre. Im Labor mag man sowas technisch hinbekommen, in der Praxis ist es meist ein Apltraum. Der bessere Weg ist, die Strukturen (und Prozesse) so aufzubauen, dass solche Klimmzüge nicht nötig sind. Gruß, Nils Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Mai 2015 Melden Teilen Geschrieben 18. Mai 2015 Moin, ich stimme Nils zu, so etwas wird schnell unübersichtlich. Bei uns gibt es ein 1:2 Mapping von Ordner:Gruppe (1x ReadWrite-, 1x ReadOnly-Gruppe). Keine Extras innerhalb des Ordner. Werden Extras gewünscht, gibt es ein neues Verzeichnis. Punkt! Das Ganze wird per DFS Namespaces bereitgestellt. Zitieren Link zu diesem Kommentar
AlbertMinrich 12 Geschrieben 19. Mai 2015 Autor Melden Teilen Geschrieben 19. Mai 2015 Danke für die Antworten. Natürlich wollen wir von der IT-Abteilung es auch möglichst einfach halten. Aber die Anforderungen aus den Fachabteilungen sind damit nicht immer vereinbar. Und manchmal sticht Ober Unter. Danke und Gruß Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.