Jump to content
StefanWe

Moderne Fileserver Berechtigungen

Recommended Posts

Hallo,

 

jeder kennt es. Fileserver Berechtigungen sind ein Graus. 

Wir versuchen aktuell höchstens zwei Ebenen in die Tiefe zu berechtigen. 

Beispiel

 

Abteilung X

       - Alle

       - intern 1

       - intern 2

 

Wie würdet ihr nun die Berechtigung vergeben um so wenig wie möglich AD Gruppen zu benötigen?

 

Jeweils für intern 1 und 2 eine eigene AD Gruppe machen, diese auf den oberen Ordnern nur mit Leserecht This Folder, oder normal Read setzen und bei intern 1 und 2 die Vererbung aufheben, und die Gruppe des anderen Ordnern entferne und die eigene Gruppe auf Modify setzen?

 

gibt es mittlerweile schönere Möglichkeiten, wen weg zu, eigenen Ordner dem Anwender zu berechtigen?

Share this post


Link to post
Share on other sites

Moin,

 

das kann man nicht beantworten, ohne die Anforderungen im Detail zu kennen. Ich würde, wenn ich sowas aufbaue, nur nach dem AGDLP-Prinzip arbeiten, aber auch damit kann einiges sehr umständlich werden.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ 

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites
vor einer Stunde schrieb NilsK:

Moin,

 

das kann man nicht beantworten, ohne die Anforderungen im Detail zu kennen. Ich würde, wenn ich sowas aufbaue, nur nach dem AGDLP-Prinzip arbeiten, aber auch damit kann einiges sehr umständlich werden.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ 

 

Gruß, Nils

 

Das agdlp beherzigen wir. Hilft uns aber leider nicht, den Weg zum Zielordner frei zu machen. 

 

Wir würden für intern 1 und 2 jeweils eine DOM Lokal Gruppe anlegen. Aber die Frage, wie gibt man den Weg für den Anwender am einfachsten frei. Der Einstiegspunkt soll Abteilung X sein und natürlich soll der Anwender nur das sehen, worauf er auch berechtigt ist. Daher ist die ABE aktiviert. 

Share this post


Link to post
Share on other sites

Moin,

 

wenn in "Abteilung X" alle alles lesen dürfen, ist es ja einfach. Dann gibt es eine DL-Gruppe "Abteilung X_R", die das Lesen erlaubt. Die Unterordner erben nicht und bekommen eigene DL-Gruppen. Nicht schön wegen der unterbrochenen Vererbung, aber geht oft kaum anders. Hauptsache, man muss nicht verweigern.

 

Ansonsten legt man aber nicht eine DL-Gruppe pro Ordner an, sondern pro Zugriffsrecht. Wenn keine verschiedenen Rechte auf denselben Ordner gegeben werden, passt eine Gruppe, aber das ist selten der Fall.

 

Am Ende sind das alles keine technischen Fragen, sondern organisatorische.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

wir haben es aufgedröselt ...

 

es gibt einmal Apteilungsverzeichnisse (Zufriff nur die jeweiligen Abteilungen), dann gibt es Arbeitsgruppenverzeichnisse (übergreifend), Prozessverzeichnisse (übergreifend), Projektverzeichnisse (übergreifend)

da kommen zwar einiges an Gruppen zusammen, aber es ist einigermaßen sauber administrierbar. Berechtigungen werden bei uns in keinem Fall aufgebrochen. Nada, Njet, Nein - gibt es nicht

 

Share this post


Link to post
Share on other sites
vor 5 Stunden schrieb Squire:

wir haben es aufgedröselt ...

 

es gibt einmal Apteilungsverzeichnisse (Zufriff nur die jeweiligen Abteilungen), dann gibt es Arbeitsgruppenverzeichnisse (übergreifend), Prozessverzeichnisse (übergreifend), Projektverzeichnisse (übergreifend)

da kommen zwar einiges an Gruppen zusammen, aber es ist einigermaßen sauber administrierbar. Berechtigungen werden bei uns in keinem Fall aufgebrochen. Nada, Njet, Nein - gibt es nicht

 

Wie geht ihr damit um wenn es innerhalb der Abteilung Teams gibt und diese nicht untereinander Daten sehen sollen ?

Share this post


Link to post
Share on other sites

Abteilung ist Abteilung. Wenn da intern kein Vertrauen da ist, hast Du ein organisatorisches Problem, kein Rechteproblem.

Edit sagt: Zu oft wird versucht, organisatorische Mängel durch technische Maßnahmen zu lösen. Das funktioniert nie.

Edited by daabm

Share this post


Link to post
Share on other sites

Moin,

 

korrekt. Und als "Sofortmaßnahme" (die IT ist ja selten die Einheit, die organisatorische Probleme per Organisation lösen kann)* ist eine gemeinsame Ordnerstruktur für derartig getrennte Einheiten dann offenkundig unpassend. In dem Fall braucht man richtig getrennte Ablagen.

 

Gruß, Nils

* ... wiewohl die IT durchaus als Impulsgeber und Unterstützer an so einem Prozess beteiligt sein kann - aber das führt an dieser Stelle evtl. zu weit.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...