Jump to content

Berechtigungskonzept File Server


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • 3 Wochen später...

Als kleine Anregung ...

 

wir haben einmal Abteilungsverzeichnisse - für die jeweiligen Abteilungsangehörigen. Für alles andere was nicht in den Abteilungsverzeichnissen geht, weil auch andere Fachbereiche zugreifen müssen ...gibt es gesonderte Arbeitsverzeichnisse mit Lese bzw. Schreibrechten.

 

Also

 

Abteilung - Abt1, Abt2, Abt3, Abt4, ...

Work - Verz1, Verz2, Verz2, Verz4, ...

 

Bei Abteilung und Work ist Ordner auflisten (nur dieser Ordner) aktiv. Ansonsten ist das Access based Enummeration eingeschaltet

 

Berechtigungen werden bei uns nicht aufgebrochen. Wenn plötzlich Abteilungsfremde auf ein Verzeichnis im Abteilungsverzeichnis zugreifen müssen ... dann wird da ein Work Folder daraus  

Link zu diesem Kommentar
  • 2 Monate später...
Am 26.1.2018 um 11:29 schrieb magheinz:

Bei uns wird auch die Vererbung unterbrochen.

Wir kommen von Novell-fileservern und die Berechtigungen liessen sich nicht anders übernehmen.

Wann habt ihr denn umgestellt, von Novell auf Windows?

Am 7.2.2018 um 17:03 schrieb magheinz:

Wie bildet Ihr denn sonst so Strukturen ab wie

Ablage

|

Abteilung1

|          |

FB1     FB2

 

 

In FB1 sollen nur die MItarbeiter aus Fachbereich1 und in FB2 die aus Fachbereich2 Zugriff haben.

Unter Novell hat man einfach die Rechte in FB1 und FB2 gesetzt. Dasd Recht sich durch den Baum zu hangeln ist automatisch nach oben "vererbt" worden.

Unter NTFS muss ich in Ablage und Abteilung ein Leserecht "nur für diesen Ordner" vergeben, Dann kann ich die Schreibberechtigte Gruppe in FB1 zum Mitglied der leseberechtigten Gruppe in Abteilung1 machen. Ohne die Vererbung zu unterbrechen klappt das nicht.

 

Lasst mich raten: solche Strukturen baut man nicht in NTFS-Systemen...

Ich möchte das Bitte mit Linux-Rechten rwxrwxrwx machen. Wie geht das am besten? Können wir das mal diskutieren? :D

Am 25.2.2018 um 18:29 schrieb Squire:

Als kleine Anregung ...

 

wir haben einmal Abteilungsverzeichnisse - für die jeweiligen Abteilungsangehörigen. Für alles andere was nicht in den Abteilungsverzeichnissen geht, weil auch andere Fachbereiche zugreifen müssen ...gibt es gesonderte Arbeitsverzeichnisse mit Lese bzw. Schreibrechten.

 

Also

 

Abteilung - Abt1, Abt2, Abt3, Abt4, ...

Work - Verz1, Verz2, Verz2, Verz4, ...

 

Bei Abteilung und Work ist Ordner auflisten (nur dieser Ordner) aktiv. Ansonsten ist das Access based Enummeration eingeschaltet

 

Berechtigungen werden bei uns nicht aufgebrochen. Wenn plötzlich Abteilungsfremde auf ein Verzeichnis im Abteilungsverzeichnis zugreifen müssen ... dann wird da ein Work Folder daraus  

Das scheint mir am einfachsten. Vererbung unterbrechen usw. ist doch zu fehleranfällig. Was passiert, wenn mal jemand doch versehentlich Vererbung ankreuzt? Weil es ja sonst überall Standard ist?

Link zu diesem Kommentar
Am 10.5.2018 um 10:45 schrieb subnetzmaske:

Wann habt ihr denn umgestellt, von Novell auf Windows?

Ich möchte das Bitte mit Linux-Rechten rwxrwxrwx machen. Wie geht das am besten? Können wir das mal diskutieren? :D

Das scheint mir am einfachsten. Vererbung unterbrechen usw. ist doch zu fehleranfällig. Was passiert, wenn mal jemand doch versehentlich Vererbung ankreuzt? Weil es ja sonst überall Standard ist?

Wir haben 2013 umgestellt.

Warum sollte man das mit Standar-Unixrechten machen? Erstens haben wir Netapps als Fileserver und zweitens kann Linux seit gut 20 Jahren mit (POSIX)ACLs umgehen.

Die Lösung wie Squire haben wir dann auch implementiert(2013). Ich habe "nur diesen Ordner" immer als "uUterbrechen" verstanden. Daher mein Missverständnis.

Ansonsten ist das wohl die einzige praktikable Lösung welche aber ohne Zusatztools oder eine Menge Powershellscripts(so bei uns) nicht zu managen ist.

Link zu diesem Kommentar

Moin,

 

nur drei Anmerkungen dazu:

  1. Gezieltes Abschalten der Vererbung ist üblich und OK.
  2. Leider sind NTFS-Berechtigungen zwar sehr umfangreich, aber ebenso beschränkt. Vieles, was man sich mit Grund überlegen kann, lässt sich leider nur umständlich umsetzen (oder auch mal gar nicht). Dazu gehören "Listrechte" (die es so eigentlich gar nicht gibt) oder auch sowas, was manche Toolhersteller "Modify+" nennen.
  3. Das führt dazu, dass man, sobald die Anforderungen etwas spezieller werden, hohe Sorgfalt aufwenden muss und sich evtl. Gedanken über eine Management-Software für sowas machen sollte.

Alle akademischen Betrachtungen wie "was ist denn wenn" oder "unter OS ABC geht aber das-und-das viel besser" helfen an der Stelle wenig.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...