Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
phatair

Berechtigung über Gruppen - Frage zur Strukturierung

Empfohlene Beiträge

Hallo zusammen,

 

ich hätte mal eine Frage zur Strukturierung der AD Gruppen für File Server Berechtigungen.

 

Direkt gesetzte Einzelberechtigungen soll man auf dem File Server ja vermeiden. Wir berechtigen maximal 3 Ebenen tief und erstellen für jeden Ordner der eine spezielle Berechtigung bekommen soll eine AD Gruppe.

 

Das könnte dann wie folgt aussehen.

 

Hauptordner 1 (Berechtigungsgruppe "Hauptordner 1")

- Unterordner 1 (geerbt von "Hauptordner 1")

- Unterordner 2 ( Berechtigungsgruppe "Unterordner 2")

     - Unterordner 1 (geerbt von "Unterordner 2")

     - Unterordner 2 (Berechtigungsgruppe "Unterordner 3")

- Unterordner 3 (geerbt von "Hauptordner 1")

Hauptordner 2 (Berechtigungsgruppe "Hauptordner 2")

 

Das führt natürlich zu sehr vielen Gruppen in der AD. Einige User haben dann natürlich auch sehr viele Gruppenmitgliedschaften. Ist das für die Performance irgendwie problematisch? Ich weiß nur, dass es zu Problemen kommen kann, wenn sehr viele Gruppen oder Einzelberechtigungen auf einen Ordner gesetzt sind.

 

Natürlich könnte man auch z.B. Gruppen nach Abteilungen machen und diese dann immer berechtigen. Aber das macht das ganze etwas unflexibler, da dann plötzlich der Mitarbeiter von der Abteilung A nicht auf den Ordner B zugreifen soll und dann muss ich doch wieder extra Gruppen bauen.

Mit der jetzigen Berechtigung habe ich eine gute Übersicht und für mich auch eine logische und nachvollziehbare Struktur aufgebaut. Mein einziger Gedanke ist eben jetzt die Geschwindigkeit bzw. das es vielleicht bei vielen Gruppen zu Problemen kommen könnte.

 

Wahrscheinlich mache ich mich mit der Frage etwas lächerlich, da wir wirklich kein großes Unternehmen sind. Wir haben ca. 100 AD Accounts und im Moment 210 Berechtigungsgruppen.  :)

Würde mich trotzdem interessieren ob es hier Richtlinien gibt an denen man sich orientieren sollte oder ob man einfach Gruppen anlegen kann, ohne sich darüber Gedanken zu machen.

 

Die File Server laufen im Moment noch mit 2008R2 und 2012R2. Das AD Schema ist 2012R2.

 

Vielen Dank schon mal.

Gruß

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

das Limit für Gruppenmitgliedschaften prop User liegt bei gut 1000 Stück. Daher würde ich bei eurer Unternehmensgröße noch kein Problem technischer Natur erwarten. Auch auf die Performance wird sich dies nicht spürbar auswirken, da gibt es beim Dateizugriff andere Faktoren, die ins Gewicht fallen.

 

Gleichwohl ist der Grundgedanke zutreffend. Es ergibt gerade bei solchen Konstrukten Sinn, möglichst viel an Strukturen und Berechtigungen logisch zusammenzufassen und möglichst wenige Ausnahmen zu definieren, die separate Gruppen erfordern. Als Grundansatz für die Umsetzung im AD empfehle ich das A-G-DL-P-Prinzip.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Danke euch. 

 

@Nils: Danke für den Link - ich dachte immer eine Berechtigung mit "Gruppen in Gruppen" ist nicht empfehlenswert. Aber da scheint sich ja was geändert zu haben. Klingt auf jeden Fall interessant aber braucht auch viel Vorbereitung. In naher Zukunft werde ich das sicherlich nicht anfassen, da fehlt mir einfach im Moment die Zeit für. Aber auf jeden Fall gut zu wissen.

Auf jeden Fall weiß ich erstmal, dass ich noch etwas Luft nach oben habe, mit 1000 Gruppenmitgliedschaften :)

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

das A-G-DL-P-Prinzip ist jetzt volljährig. Und der Vorläufer wurde mit NT 3.1 eingeführt. So richtig neu ist das also nicht. :D

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×