Dukel 436 Geschrieben 2. September 2020 Melden Teilen Geschrieben 2. September 2020 3 minutes ago, testperson said: früher oder später wird der Tag kommen, wo irgendjemand keinen Zugriff mehr auf ..\Projekte haben soll. Erstelle doch direkt eine Gruppe "p_Projekte_ro" und nimm dann derzeit alle User auf. Das ist doch "nur" der Projekte Einstieg. Wenn ein Mitarbeiter in keinen Projekten ist, sieht er keine Unterordner und kann dort nichts machen. Besser als eine weitere Gruppe "p_projekte_ro" zusätzlich pflegen. Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 2. September 2020 Melden Teilen Geschrieben 2. September 2020 vor 11 Minuten schrieb testperson: Hi, früher oder später wird der Tag kommen, wo irgendjemand keinen Zugriff mehr auf ..\Projekte haben soll. Erstelle doch direkt eine Gruppe "p_Projekte_ro" und nimm dann derzeit alle User auf. Würde ich lieber über ein Rollen-Konzept lösen und dort einmalig die Berechtigung für RO hinterlegen. Dann ists auch kein Problem, wenn jemand mal kein Zugriff bekommen soll, dann entspricht er einfach einer anderen Rolle. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 3. September 2020 Autor Melden Teilen Geschrieben 3. September 2020 vor 16 Stunden schrieb testperson: Hi, früher oder später wird der Tag kommen, wo irgendjemand keinen Zugriff mehr auf ..\Projekte haben soll. Erstelle doch direkt eine Gruppe "p_Projekte_ro" und nimm dann derzeit alle User auf. Wenn du der Gruppe "p_Projekte_ro" bzw. in deinem Fall der Gruppe "Domänen-Benutzer" das Lesen-Recht nur für diesen Ordner ("d:\Firmenname\Projekte") gibst, musst du die Vererbung nicht aufbrechen. Gruß Jan Wenn ich Domänen-Benutzer in die AD-Gruppe 'p_Projekte_ro' aufnehme und an dieser Stelle (D:\Firmenname\Projekte) dieser Gruppe Leseberechtigung vergebe, so wird das ja ab da auch weiter runter vererbt und jeder Domänen-Benutzer hat wieder leserechte in allen Projekten. Das will ich auf gar keinen Fall. Auch will ich nicht das jeder User der auf bestimmte Projekte Zugriff hat, andere Projekte sehen kann. Was ich will ist das alle Domänen-Benutzer den Ordner 'Projekte' stehen und darunter nur noch die Ordner auf die sie irgendwelche Berechtigung haben und ansonsten soll es für die leer sein. Das schaffe ich nur wenn ich die Vererbung an der Stelle 'Projekte' unterbreche, richtig? vor 16 Stunden schrieb Dukel: Das ist doch "nur" der Projekte Einstieg. Wenn ein Mitarbeiter in keinen Projekten ist, sieht er keine Unterordner und kann dort nichts machen. Besser als eine weitere Gruppe "p_projekte_ro" zusätzlich pflegen. Genau. Es geht nur um den 'Projekte-Einstieg'. Ich habe eine Freigabe die ich allen Usern mappe. Dies ist D:\Firmenname. Darunter habe ich mehrere Teamordner, ein Projekteordner und ein 'Austauschordner' (sozusagen wie ein Markplatz). Wenn die Leute auf ihr gemapptes Laufwerk gehen so sehen sie nur deren Teamordner (in welchem deren Gruppenordner sind und auch nur sichtbar wenn sie berechtigt sind), den Tauschordner (Domänen-Benutzer -> Änderungsberechtigung) und Projekte-Ordner (nur lesend zugriff). Unter 'Projekte' dann leer sofern sie keine Berechtigungen haben oder eben nur die Ordner sichtbar wo sie irgendwleche Berechtigungen habem. Das klappt auch wunderbar. Nur ist meine Frage ob das so korrekt umgesetzt wird wenn ich ein Projekt-Ornder anlege das ich dort die Vererbung unterbreche um die Lese-Berechtigung der Domänen-Benutzer zu entziehen? Ich will nicht auf was falschem aufbauen das mir später eventuell ein Strick um den Hals drehen könnte... vor 16 Stunden schrieb MurdocX: Würde ich lieber über ein Rollen-Konzept lösen und dort einmalig die Berechtigung für RO hinterlegen. Dann ists auch kein Problem, wenn jemand mal kein Zugriff bekommen soll, dann entspricht er einfach einer anderen Rolle. Sorry, da verstehe ich nur Bahnhof. @all Ich wollte lediglich wissen ob diese Vorgehensweise, die Vererbung an der Stelle zu unterbrechen ab welcher eben nur noch bestimmte User Zugriff haben sollen, so durchaus praktiziert wird oder ob das nicht normal ist? \Share (Domänen-Benutzer -> lesen) \Share\Projekte (Domänen-Benutzer -> lesen) \Share\Projekte\Projekt1 (Domänen-Benutzer -> keine Berechtigung, p_Projekt1 -> ändern, p_Projekt1_ro -> lesen) Also muss ich bei '\Share\Projekte\Projekt1' die Vererbung unterbrechen, die nun in Kopie vorhandene 'Domänen-Benutzer' rauschschmeissen und entsprechend andere Berechtigungen anderer AD-Gruppen zuweisen, richtig? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. September 2020 Melden Teilen Geschrieben 3. September 2020 (bearbeitet) vor 9 Stunden schrieb kaineanung: Das klappt auch wunderbar. Nur ist meine Frage ob das so korrekt umgesetzt wird wenn ich ein Projekt-Ornder anlege das ich dort die Vererbung unterbreche um die Lese-Berechtigung der Domänen-Benutzer zu entziehen? Ich habe das damals jedenfalls mit Unterbrechung der Vererbung gearbeitet; am Einstieg(sordner(freigegeben) und auch an Unterordnern, jeder bekam eine Sicherheitsgruppe, in diese wurden die zu berechtigten augenom,men. Allerdings habe ich keine read only gemacht, weiss auch nicht mehr warum nicht. Inzwischen ist das in übergeordnete Hände gegangen und ich in Rente. vor 9 Stunden schrieb kaineanung: Wenn ich Domänen-Benutzer in die AD-Gruppe Was ist mit AD-Gruppe gemeint? Sicherheitsgruppe? bearbeitet 3. September 2020 von lefg Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 3. September 2020 Autor Melden Teilen Geschrieben 3. September 2020 vor 3 Stunden schrieb lefg: Ich habe das damals jedenfalls mit Unterbrechung der Vererbung gearbeitet; am Einstieg(sordner(freigegeben) und auch an Unterordnern, jeder bekam eine Sicherheitsgruppe, in diese wurden die zu berechtigten augenom,men. Allerdings habe ich keine read only gemacht, weiss auch nicht mehr warum nicht. Inzwischen ist das in übergeordnete Hände gegangen und ich in Rente. Was ist mit AD-Gruppe gemeint? Sicherheitsgruppe? Mit AD-Gruppe habe ich Sicherheitsgruooe gemeint. Sorry für meine oftmals ungenauen Begriffe. Also ist das nicht Abwegig mit Unterbrechung der Vererbung zu arbeiten? Ich sehe da eigentlich auch keine andere Lösung und scheint ja relativ sauber zu sein. Wenn dem jetzt niemand mehr widerspricht, dann habe ich mich auf das Konzept festgelegt und so wird es gemacht. Und übrigens herzlichen Glückwunsch zum erreichen deiner Renten in bester Verfassung! Ist in unserem Beruf nicht selbstverständlich... ? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. September 2020 Melden Teilen Geschrieben 3. September 2020 (bearbeitet) vor einer Stunde schrieb kaineanung: Und übrigens herzlichen Glückwunsch zum erreichen deiner Renten in bester Verfassung! Ist in unserem Beruf nicht selbstverständlich... ? Danke. Ich hatte am 14. July dieses Jahres meinen 71.Gewburtstag. Ich bin mit 65 in Rente, hätte schon mit 63 gehen können. Hab dann noch bis 67 gearbeitet. Ich habe einem GF widersprochen, Es war wohl genau der richtige Zeitpunkt mich mehr um meine Mutter zu kümmern, So Gott sie lässt, begeht sie am 21,12 ihren 95. Geburtstag. Zurück zum Thema. Für das Anlegen von Benutzern, Sicherheitsgruppen, OU, Verzeichnissen, Vergeben von Berechtigungen, Änderungen von Berechtigungen, Unterbrechen der Vererbungung und was man alles so braucht, hatte ich eine Batch gebaut, sehr umfangreich, startbar mit Parametern in einer Txt Datei. Als das alles fertig, machte der Rest nur noch wenig Arbeit. Für einige Dinge gab es auch einzelne Batches. Zum Anlegen einer Veranstaltung -früher mal Schulung- führte ich dann die Batch mit der txt mit dem Namen der Veranstaltung aus. In der ersten Zeile der Txt einige weitere Parameter, darunter die Namen, Vornamen der Teilnehmer, Kennwort für die Erstanmeldung an PCs und Domäne. Die Batch legte im AD die Sicherheitsgruppe an, die Teilnehmer, die gleich in die Sicherheitsgruppe, die OU. Weiter das Verzeichnis für die Servergespeicherten Benutzerprofile, für Homeverzeichnisse, Aufgabenordner, Rücckgabeordner, Austauschordner, Vergabe von Berechtigungen. Das nur mal so als Beispiel. Für den Bereich und Domäne Verwaltung gab es ähnliches ähnliches, nicht so umfangreich, war nicht nötig. Ich hatte die Neigung zur Batchprogrammierung bis in den Maschinencode. Falls Du noch Fragen hast? Möglicherweise haben ja andere Member Vorschläge, die heute praktikabler sind. bearbeitet 3. September 2020 von lefg Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 4. September 2020 Melden Teilen Geschrieben 4. September 2020 (bearbeitet) vor 23 Stunden schrieb kaineanung: Ich wollte lediglich wissen ob diese Vorgehensweise, die Vererbung an der Stelle zu unterbrechen ab welcher eben nur noch bestimmte User Zugriff haben sollen, so durchaus praktiziert wird oder ob das nicht normal ist? \Share (Domänen-Benutzer -> lesen) \Share\Projekte (Domänen-Benutzer -> lesen) \Share\Projekte\Projekt1 (Domänen-Benutzer -> keine Berechtigung, p_Projekt1 -> ändern, p_Projekt1_ro -> lesen) Also muss ich bei '\Share\Projekte\Projekt1' die Vererbung unterbrechen, die nun in Kopie vorhandene 'Domänen-Benutzer' rauschschmeissen und entsprechend andere Berechtigungen anderer AD-Gruppen zuweisen, richtig? Die Vererbung am obersten Punkt zu unterbrechen ist OK. Für tiefere Unterbrechungen in der Struktur machst du Dir das leben (vielleicht nicht jetzt, aber später) schwer. Welche Berechtigungen passend sind, möchte ich Dir nochmal in einem Beitrag zeigen vor 23 Stunden schrieb kaineanung: Sorry, da verstehe ich nur Bahnhof. Eine Rolle ist z. B. etwas was jemand in einem Unternehmen tut. Beispielsweise "Geschäftsführung" (allgemein) oder "Buchhalterin", "Sekretärin" (Tätigkeit). Für beide Gruppen oder Tätigkeiten gibt es bestimmte Berechtigungen die man in einer jeweiligen AD-Gruppe zusammenfassen kann. Neuer Mitarbeiter GF -> In die Gruppe GF und fertig. Neue Berechtigungen für die GF, dann einfach die GF-Gruppe mit neuen Berechtigungen erweitern -> erledigt. Das Prinzip dahinter ist das AGDLP-Prinzip. faq-o-matic | Windows-Gruppen richtig nutzen https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ bearbeitet 4. September 2020 von MurdocX Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 4. September 2020 Autor Melden Teilen Geschrieben 4. September 2020 vor 1 Stunde schrieb MurdocX: Die Vererbung am obersten Punkt zu unterbrechen ist OK. Für tiefere Unterbrechungen in der Struktur machst du Dir das leben (vielleicht nicht jetzt, aber später) schwer. Welche Berechtigungen passend sind, möchte ich Dir nochmal in einem Beitrag zeigen Eine Rolle ist z. B. etwas was jemand in einem Unternehmen tut. Beispielsweise "Geschäftsführung" (allgemein) oder "Buchhalterin", "Sekretärin" (Tätigkeit). Für beide Gruppen oder Tätigkeiten gibt es bestimmte Berechtigungen die man in einer jeweiligen AD-Gruppe zusammenfassen kann. Neuer Mitarbeiter GF -> In die Gruppe GF und fertig. Neue Berechtigungen für die GF, dann einfach die GF-Gruppe mit neuen Berechtigungen erweitern -> erledigt. Das Prinzip dahinter ist das AGDLP-Prinzip. faq-o-matic | Windows-Gruppen richtig nutzen https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Damit wir uns nicht falsch verstehen: Die User werden gar keine Berechtigungen auf dem Filserver haben sonder nur noch Sicherheitsgruppen in denen die User dann Mitglieder sind oder eben nicht. Wolltest du darauf hinaus? Ich will nur wissen ob das Unterbrechen der Vererbung ein Workaround / Hack ist oder ob das zum legitimen Arbeiten und dem korrekten Design der Filestruktur dazugehört? Ich werde niemals unterhalb der von mir verwalteten Ebenen irgendwleche Verebungen unterbrechen oder Sonstiges. Ich habe 2 Ebenen nach dem Einstiegspunkt 'Fimenname': \Firmenname\Markplatz \Firmenname\TeamX\TL \Firmenname\TeamX\TXK1 \Firmenname\TeamX\TXK2 \Firmenname\TeamX\TXXX \Firmenname\TeamX\TXXXGL \Firmenname\Projekte\ProjektX (X -> bestimmte Zahlen) So, alles was darunter ist geht mich nichts an und werde keine Administrativen Dinge machen. Ich will eben nur wissen ob ich an den Stellen wie z.B. ProjektX oder TXXXGL die Verebung unterbrechen darf und die 'nur lesen'-Domänen-Benutzer rausschmeissen darf damit nur noch der Berechtigte auf ProjektX zugriff hat und es da, dank ABE, auch nur sehen kann? Ist das eine normale Vorgehensweise? vor 10 Stunden schrieb lefg: Danke. Ich hatte am 14. July dieses Jahres meinen 71.Gewburtstag. Ich bin mit 65 in Rente, hätte schon mit 63 gehen können. Hab dann noch bis 67 gearbeitet. Ich habe einem GF widersprochen, Es war wohl genau der richtige Zeitpunkt mich mehr um meine Mutter zu kümmern, So Gott sie lässt, begeht sie am 21,12 ihren 95. Geburtstag. Zurück zum Thema. Für das Anlegen von Benutzern, Sicherheitsgruppen, OU, Verzeichnissen, Vergeben von Berechtigungen, Änderungen von Berechtigungen, Unterbrechen der Vererbungung und was man alles so braucht, hatte ich eine Batch gebaut, sehr umfangreich, startbar mit Parametern in einer Txt Datei. Als das alles fertig, machte der Rest nur noch wenig Arbeit. Für einige Dinge gab es auch einzelne Batches. Zum Anlegen einer Veranstaltung -früher mal Schulung- führte ich dann die Batch mit der txt mit dem Namen der Veranstaltung aus. In der ersten Zeile der Txt einige weitere Parameter, darunter die Namen, Vornamen der Teilnehmer, Kennwort für die Erstanmeldung an PCs und Domäne. Die Batch legte im AD die Sicherheitsgruppe an, die Teilnehmer, die gleich in die Sicherheitsgruppe, die OU. Weiter das Verzeichnis für die Servergespeicherten Benutzerprofile, für Homeverzeichnisse, Aufgabenordner, Rücckgabeordner, Austauschordner, Vergabe von Berechtigungen. Das nur mal so als Beispiel. Für den Bereich und Domäne Verwaltung gab es ähnliches ähnliches, nicht so umfangreich, war nicht nötig. Ich hatte die Neigung zur Batchprogrammierung bis in den Maschinencode. Falls Du noch Fragen hast? Möglicherweise haben ja andere Member Vorschläge, die heute praktikabler sind. Ich bin noch relativ am Anfang der 'richtigen Administration' hier im Laden. Vor eineger Zeit, als ich hier reingekommen bin, hat man noch Novell genutzt ohen windows-Domäne oder der Gleichen. Ich arbeite immer noch mit einem W2K3 Fileserver den ich jetzt abschaffen will. Ich habe erst vor kurzem den einzigen DC von genau diesem Server getrennt und habe jetzt 2x DCs als W2K16 in der Domäne. Will damit sagen: langsam aber sicher arbeitei ch mich zu einer 'richtigen' und 'sauberen' Domäne heran. Batch-Programmierung dieser Art vielleicht irgendwann mal in 5 Jahren wenn die wichtigsten Systeme hier sauber und ohne Fehler laufen.... Dann kann ich dich ja immer noch fragen. Gruß an deine Mutter und ich drück ihr die Daumen noch viele weitere Geburtstage in Gesundheit zu erleben! Und allen anderen natürlich auch ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. September 2020 Melden Teilen Geschrieben 4. September 2020 (bearbeitet) vor 28 Minuten schrieb kaineanung: Gruß an deine Mutter und ich drück ihr die Daumen noch viele weitere Geburtstage in Gesundheit zu erleben! Danke für die guten Wünsche. Dir viel Erfolg bei deinem Vorhaben und viel Freude. :) Übrigens,.nur als Tipp, man braucht nicht (immer) den den bezüglichen Post vollständig als Zitat in eine Antwort übernehmen. Schau mal wie ich es mache.Ich nehme nur das was mir als Bezug wichtig oder einigermßen sinnvoll erscheint. bearbeitet 4. September 2020 von lefg Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 4. September 2020 Autor Melden Teilen Geschrieben 4. September 2020 vor 4 Minuten schrieb lefg: Dir viel Erfolg bei deinem Vorhaben und viel Freude. :) Danke! Und wegen dem Zitieren: werde ich mir merken ;) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 4. September 2020 Melden Teilen Geschrieben 4. September 2020 (bearbeitet) vor 5 Minuten schrieb kaineanung: Und wegen dem Zitieren: werde ich mir merken ;) Was dir sinnvoll, was dir wichtig erscheint als Hinweis für den oder Adressaten, an Leser, die nicht den ganzen Thread gelesen und erfasst haben. Noch ein Tipp. Ob Du nicht deinen Usernamen ändern möchtest oder ein neuen anlegen? :) bearbeitet 4. September 2020 von lefg Zitieren Link zu diesem Kommentar
MurdocX 903 Geschrieben 5. September 2020 Melden Teilen Geschrieben 5. September 2020 vor 22 Stunden schrieb kaineanung: Ich will nur wissen ob das Unterbrechen der Vererbung ein Workaround / Hack ist oder ob das zum legitimen Arbeiten und dem korrekten Design der Filestruktur dazugehört? Ja das gehört dazu. Das könnte umgangen werden, wenn die Berechtigungen auf dem Laufwerk selbst angepasst . Das würde aber zu weit führen fürs Erste Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2020 Melden Teilen Geschrieben 5. September 2020 (bearbeitet) Am 4.9.2020 um 10:51 schrieb kaineanung: ch will nur wissen ob das Unterbrechen der Vererbung ein Workaround / Hack ist oder ob das zum legitimen Arbeiten und dem korrekten Design der Filestruktur dazugehört? Moin Ich denke nicht, das die Begriffe Workaround und Hack zu dem Vorgehen Unterbrechung passen. Ich verstehe jedenfalls etwas anderes darunter. Ein Eingriff in die Registry käme dem Workaround wohl näher, das Ändern des Maschinencodes im Betriebssystems zum Ändern des Verhaltens oder Bestimmungsgrössen im Code zum Erweitern von "Etwas". Das wäre auch ein Lizenzverstoss. Ich will keine Beispiele aufführen und keine schlafende Hunde zu wecken. Ich meine, ein Unterbrechen der Vererbung ist regulär administrär durchführbar. Ob jemand das Anwenden will oder nicht, kann jeder Zuständige und Verantwortliche also entscheiden. Ich habe darüber zwar nie in einem "offiziellen" Buch gelesen (Ich wohl nur mein erstes Buch ganz gelesen), aber auch nie von eine gestrengen Ablehnung/Quasi-Verbot im Sinne "Microsoft unterstütze das nicht", z.B. im Supportfall. Oder es sei ein Lizenzverstoss. Was wollte ich noch schreiben? ABE, Access Based Enumeration, wurde das hier schon erwähnt, ist es dir bekannt? bearbeitet 5. September 2020 von lefg Zitieren Link zu diesem Kommentar
NorbertFe 1.799 Geschrieben 5. September 2020 Melden Teilen Geschrieben 5. September 2020 vor 53 Minuten schrieb lefg: Workaround und Hack zu dem Vorgehen Unterbrechung passen. Aber es klingt so l33t Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. September 2020 Melden Teilen Geschrieben 5. September 2020 vor 35 Minuten schrieb NorbertFe: Aber es klingt so l33t Das sagt mir jetzt nichts? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.