Jump to content

Migration vom Fileserver und dabei weg vom Organigramm


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 19 Minuten schrieb daabm:

Archivieren? Und ABE - oder sind alle in allen Projekten? :-)

Leider gibt es tatsächlich ein paar Leute die in allen Projekten sein sollen oder wollen. 

ABE Ist selbstverständlich an. 

Archivieren wäre schön, wir gehen aber den Weg in eine vernünftige Ausstellungsplanungssoftware und ein DMS. Beim Archiv wissen wir noch nicht so ganz wie wir es am besten in den Prozessen einbinden. 

Link zu diesem Kommentar
vor 22 Minuten schrieb daabm:

Naja - wer alles sehen will, darf sich nicht beschweren, wenn er alles sieht LOL :-)

Da stehste als IT halt b***d da. 

Seit mehreren Jahren warne ich davor: eine reine Dateisystemlösung skaliert nicht. 

Jetzt testen sie eine Software von der meine IT-Kollegen und ich von Projektstart an warnen. Wie erwartet funktioniert es nicht.

Ich bin gespannt wie es weiter geht, sind ja nur Steuergelder. 

Link zu diesem Kommentar

Ich möchte "the golden rules of permission administration" in die Runde schmeißen. Die haben schon einige Jahre auf dem Buckel, passen aber immer noch gut.

 

The Golden Rules of Permissions Administration

  • 1) Never give “end users” the ability to administer permissions
    • a. Instead insure that only professional administrators for the application can administer permissions. This will prevent problems in the long run.
  • 2) Never assign permissions to an individual user
    • a. Instead place the user into a group and assign permissions to the group.
  • 3) Never assign permissions to an individual file (or object).
    • a. Instead place the file (or object) into a folder (or group, etc) and assign permissions to the folder (or group, etc).
  • 4) Never assign permissions to a “user group”
    • a. Instead create a specific “resource group” and place the users and/or “user groups” into that “resource group.”
  • 5) Always assign permissions in a Resource Security Model
    • a. This requires a very high level view of the organization and great understanding of the individual application and needs of the organization.

 

Ab hier unterhalb soll Dir die Richtung weisen, damit du eine solide Basis bekommst.

 

Doing security is about creating an developing a philosophy, there are many out there.  The one below is mine and works for most situations, this is just a simplified explanation of the Axioms and Golden Rules listed above.

For shares you should do the following

  1. Everyone - Read  (optional not really needed but a nice just in case)
  2. Authenticated Users - Change
  3. Local Administators - Full Control
  4. File Strucutre Administrators - Full Control

 

For Shares note the following:
Alway limit Authenticated Users to Change at the Share to pervent non-admin users from accidently being given Full Control to the file structure.
You should always configure Local Adminsitrators Full Control at the Share so they can administrate it remotely
You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every share.  This allows them to remotely administrater shares without being local administartors.

For your high level directories NTFS Permsisions where no files reside and only read access to folders is needed to get to the data in lower directories.

  1. 1) Authenticated Users - Read
  2. 2) Local Administators - Full Control
  3. 3) File Strucutre Administrators - Full Control
  4. 4) SYSTEM - Full Control

 

For NTFS in this situation note:
Alway limited Authenticated Users to Read to pervent non-admin users chaning folders and creating files here.
You should always configure Local Adminsitrators Full Control at the folder so they can administrate it remotely
You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every folder.  This allows them to remotely administrater shares without being local administartors.

For NTFS permissions where users need to write data, stop inheritance, copy permissions and replace Authenticated users to two different groups

  1. 1) Directory group - Read Only
  2. 2) Directory group - Read and Write
  3. 3) Local Administators - Full Control
  4. 4) File Strucutre Administrators - Full Control
  5. 5) SYSTEM - Full Control

 

For NTFS in this situation note:
Alway remove Authenticated Users so the appropriate group limite access
You should always configure Local Adminsitrators Full Control at the folder so they can administrate it remotely
You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every folder.  This allows them to remotely administrater shares without being local administartors.

 

Quelle: https://social.technet.microsoft.com/Forums/windowsserver/en-US/68748d3a-575f-4ffa-bd98-c6b7fcb3a901/ntfs-permissions-for-a-file-server?forum=winserverfiles

bearbeitet von MurdocX
Link zu diesem Kommentar

@MurdocX

Habe ich das dann so richtig verstanden:

 

1. Erweiterte Freigabe sollen 'Authentifizierte Benutzer' das Recht 'Ändern' bekommen.

2. NTFS sollen 'Authentifizierte Benutzer' das Recht 'Lesen' bekommen.

3. In allen Unterordnern soll dann 'Authentifizierter Benutzer' entfernt werden und hier greifen dann nur noch die explizit gesetzten Berechtigungen.

 

Somit können alle User in die Share erst mal lesend 'reinspringen' und in jeglichen Unterordnern dann je nachdem was gesetzt wurde explizit für die Gruppen.

ABER: das heisst jedoch daß ich tatsächlich die Vererbung an dieser Stelle für jegliche Unterordner (also direkt in der Share-Ebene) deaktivieren müsste (Kopieren der Berechtigungen statt zu löschen und dann 'Authentifizierte Benutzer' entfernen). Ist das richtig so? Denn genauso habei ch es verstanden und auch in meiner Testumgebung umgesetzt. Scheint gut zu funktionieren. Ich war mir lediglich nicht sicher weil ich die Vererbung da unterbrechen musste und Berechtigung entfernen musste für jeden Einzelnen Ordner in dieser Ebene.

 

Link zu diesem Kommentar

Bitte nicht verwechseln.

 

Freigabe:

- das hier einmal für die Freigabe -

  • Authenticated Users - Change
  • Local Administators - Full Control
  • File Strucutre Administrators - Full Control

 

NTFS:

- das hier für jeden Ordner einzeln und nach unten vererbt

  • Directory group (Ordnername) - Read Only
  • Directory group (Ordnername) - Read and Write

 

- das hier vererbt von dem Root-Ordner auf alle unteren - 

  • Local Administators - Full Control
  • File Strucutre Administrators - Full Control
  • SYSTEM - Full Control

 

Ich würde maximal 3 Unterebenen empfehlen. Sonst wirds einfach zu komplex.

RootOrdner ( Freigabe ) -> OrdnerEbene1 -> OrdnerEbene2 -> OrdnerEbene3

 

Unterbrechen der Vererbung nur in den Fällen in denen es nötig ist, denn das erhöht auch die Komplexibilität der Struktur.

 

Später baust du Dir Rollen. Beispielsweise -> Sekretariat (GlobalGroup). Dort packst du die Berechtigungsgruppen (Directory group - Read Only ODER Directory group - Read and Write) rein. Später dann die Benutzer in die Rolle und fertig. AGDLP, wie es schon erwähnt wurde.

 

Das soll Dir die Basis vermitteln und passt sicher nicht auf alle Eventualitäten, durchaus aber auf fast alles. Mach dich mit dem Konzept vertraut und lege los ;-) 

 

bearbeitet von MurdocX
Link zu diesem Kommentar
Am 16.12.2019 um 17:02 schrieb MurdocX:

Unterbrechen der Vererbung nur in den Fällen in denen es nötig ist, denn das erhöht auch die Komplexibilität der Struktur.

Das ist aber immer nötig wenn die Leute unterhalb dem Share nur ihre Ordner sehen sollen. Da der Share mit 'Domänen-Admin' - > 'Lesen' ausgestattet ist, muss hier die Vererbung unterbrochen werden und 'Domänen-Admins' entfernt. Denn ab hier sind die einzelnen Unterordner in dieser Ebene nur explizit für die entsprechenden AD-Gruppen freigegeben was ändern aber auch lesen angeht.

 

Also habe ich das hier schon richtig verstanden gehabt?

 

Share (Dom-User 'lesen') -> T3 (Unterordner des Team 3 -> Dom-User entfernen & T3 (AD-Gruppe) hinzufügen und auf 'ändern' setzen)

Share (Dom-User 'lesen') -> T301 (Unterordner des Team 301 -> Dom-User entfernen & T301 (AD-Gruppe) hinzufügen und auf 'ändern' setzen)

usw..

Link zu diesem Kommentar
vor einer Stunde schrieb kaineanung:

Das ist aber immer nötig wenn die Leute unterhalb dem Share nur ihre Ordner sehen sollen.

Nein, denn sie sehen ja eh nur das wofür sie berechtigt wurden. Siehe (- das hier für jeden Ordner einzeln und nach unten vererbt -). Du unterbringst am Anfang der Struktur (einmal), um die oben genannten Berechtigungen zu setzten. Diese vererben sich bis zur letzten Datei + die Gruppen, die im laufe der Struktur dazu kommen. 

 

vor einer Stunde schrieb kaineanung:

Share (Dom-User 'lesen') -> T3 (Unterordner des Team 3 -> Dom-User entfernen & T3 (AD-Gruppe) hinzufügen und auf 'ändern' setzen)

Warum dürfen Domänen-Benutzer nur lesen? Ich habe oben (- das hier einmal für die Freigabe -) genau aufgezeigt was berechtigt werden sollte. Die Hilfe im Forum ist begrenzt. Ich kann Dir den Weg weisen, gehen musst du ihn aber selbst.

 

Allgemein:

Je tiefer du in die Struktur gehst, desto mehr Berechtigungen hast du. Entweder jemand hat für den Ordner und seine Unterordner die Berechtigung oder nicht. Was gar nicht geht ist der Fall: Aber im 5 Unterordner darf XYZ das und das nicht sehen. Falls das doch eintritt, dann Ordnerstruktur umbauen!

 

Ich habe Dir die Basics oben geschrieben und erläutert. Das Thema "Berechtigungen" ist auch nichts was man einfach mal so aus dem Ärmel schüttelt, sondern etwas was geplant werden sollte. Hier braucht es einfach Erfahrung und Zeit für das richtige Konzept. Löse dich von deinem Konzept im Kopf und hinterfrage was wir hier alle schreiben. So kannst du lernen warum wir hier etwas so oder so tun. UND noch besser.. warum genau nicht ;-) 

bearbeitet von MurdocX
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...