Fileserver-Struktur: Wie macht ihr das mit den (zusätzlichen) Berechtigungen und überhaupt mit der Struktur?

[NorbertFe 1.800]

Gib’s doch mal in Google ein ;)

[lefg 276]

Danke

[kaineanung 14]

Am 5.9.2020 um 10:29 schrieb MurdocX:

Ja das gehört dazu.

Das könnte umgangen werden, wenn die Berechtigungen auf dem Laufwerk selbst angepasst . Das würde aber zu weit führen fürs Erste  

Das woltle ich wissen. Danke!

 

Am 4.9.2020 um 11:27 schrieb lefg:

Noch ein Tipp. Ob Du nicht deinen Usernamen ändern möchtest oder ein neuen anlegen? :)

 

Ja, das habe ich mir schon mal überlegt gehabt. Ich bin aber kein Ernster Typ und stehe auf Parodie und mache auch gerne Spaß und daß nie auf kosten anderer (ausser die wollen das so) sondern auf meine Kosten.

Ich sehe das als eine Art 'aufhellen' der Gemüter, Unersthaftigkeit in ernste Themen bringen und alles ein wenig 'aufzulockern'. Also nicht nur mich sondern auch die 'Gegenüber'...

Und wenn es jemanden belustigt mir zu schreiben das mein Name Programm sei: wenn ich ihn damit glücklich gemacht habe dann freut es mich ;)

Aber irgendwann mal werdei ch vielleicht auch Ernst und dann ändere ich den Namen...

 

Am 5.9.2020 um 12:48 schrieb lefg:

Ich meine, ein Unterbrechen der Vererbung ist regulär administrär durchführbar. Ob jemand das Anwenden will oder nicht, kann jeder Zuständige und Verantwortliche also entscheiden. Ich habe darüber zwar nie in einem "offiziellen" Buch gelesen (Ich wohl nur mein erstes Buch ganz gelesen), aber auch nie von eine gestrengen Ablehnung/Quasi-Verbot im Sinne "Microsoft unterstütze das nicht", z.B. im Supportfall. Oder es sei ein Lizenzverstoss.

 

Was wollte ich noch schreiben? ABE, Access Based Enumeration, wurde das hier schon erwähnt, ist es dir bekannt?

 

Und was sagen die Bücher was man dann machen soll?

Irgendwo passt es ja nicht das man sagt: macht flache Ordnerstrukturen und bildet keine Firmen-Organigrame auf dem Fileserver ab, sondern macht das mit einem Einstiegspuinkt für alle und flache Ordnerstrukturen. Wenn ich den Einstiegspunkt (Share) für die ganzen Domänen-Benutzer einrichte (lesend) dann MUSS ich ja diese Berechtigung auf Unterordner wegbekommen auf die nur bestimmte Sicherheitsgruppen lesenden Zugriff haben sollen. Ich kann dann entweder die Vererbung deaktivieren und die Domänen-Benutzer herausnehmen oder ich arbete mit 'DEny'-Regeln die noch seltener sind wie es mir scheint.

Daher: was sagen denn diese Bücher wie man da dann machen soll?

 

ABE habe ich aktiviert: die User sollen nur die Ordner sehen auf die sie Berechtigungen haben. Aber wenn Domänen-Benutzer das Recht 'lesen' haben -> dann ist das ja schon eine Berechtigung die das den Domänen-Benutzer erlaubt den Ordner zu sehen... und das will ich wegbekommen.

Im einstiegst-Share (für alle gleich) sollen nur die Ordner angezeigt werden die einen was angehen und der Rest unsichtbar...

[lefg 276]

vor 30 Minuten schrieb kaineanung:

Und was sagen die Bücher was man dann machen soll?

Irgendwo passt es ja nicht das man sagt: macht flache Ordnerstrukturen und bildet

 

Ich weiss es nicht wirklich, was Bücher dazu sagen. Und, Empfelungen und Lehrmeinungen sind keine strengen Gebote oder Verbote. Es gibt kein gestrenges Sollen in dem Sinne. Ich denke mal, man, wir müssen uns darüber im Klaren sein, Administratoren, Verantwortliche mit Kenntnis und Erfahrung sollten selbst erkennen wie wass sinnvoll gemacht wird, sie können sich aber auch an Ratschlägen orientieren, diese weiterentwickeln. Nicht das eigene Denken vernachlässigen.

Ich hatte vorher nie etwas davon gehört oder gelesen. Mein damaliger Vorgesetzter machte es anders, er machte viele Freigaben auf dem Novell Server. Der Praktikant machte es ebenso. Mit zunehmenden Zugang wuchs in mir erst eine intuitive Abneigung gegen diese Spaghetti-Strukturen (Ich hatte mal Strukturiertes Programmieren gelernt, Spaghetti Code verabscheuend). Ich konnte das aber nicht einfach ändern ohne Zustimmung von meinem Vorgesetzten. Bei einer Wiederherstellung nach einem Ausfall hatte ich Gelegenheit meine Vorstellung umzusetzen ohne das z.B. die Benutzer davon betroffen waren, Ich verzichte hier und jetzt mal auf Genaueres.

bearbeitet 8. September 2020 von lefg

[Squire 211]

nein - die Berechtigung nicht händisch aufbrechen - das geht eleganter!

 

Das Leserecht/Anzeige nur für den obersten Ordner aber nicht für die darunterliegenden setzen ... in den Erweiterten Sicherheitseinstellungen

 

ich hab laufwerk\data ... Data ist freigegeben

Auf dem laufwerksroot hat System und Administratoren Vollzugriff .. sonst nix - alles andere ist rauseworfen

 

 

darunter also hier als Beispiel Department erstellst Du Deine Ordner und packst die dafür angelegten Sicherheitsgruppen drauf. Kein manuelles Aufbrechen der Vererbung und rauswerfen irgendwelcher Sicherheitsgruppen ... Bei einer einzigen Domäne würde ich die Domain Users statt authenticated nehmen ... wir haben hier mehrere Domänen deshalb der Weg über Authenticated

Einfach und Pflegeleicht - keep it simple! 

 

bearbeitet 8. September 2020 von Squire

[Dukel 436]

Das problem ist, dass per Default "Users" lesen/schreiben vererbt. Auf irgendeiner Ebene (am besten auf der ersten) muss man dies aufbrechen. Btw. so wie in deinem Screenshot (Inherited from: None). Das darunter nichts mehr aufbebrochen werden soll, sollte mitlerweile klar sein.

[Squire 211]

drum hab ich die auch auf dem Root heraußen ... aber so wie ich das in den Posts herausgelesen hab wollte der TO auf den jeweiligen Projektordnern jeweils die Vererbung händisch brechen.

Deshalb der Hinweis mit "This Folder Only"

bearbeitet 8. September 2020 von Squire

[lefg 276]

vor einer Stunde schrieb Dukel:

Das darunter nichts mehr aufbebrochen werden soll, sollte mitlerweile klar sein.

 

So habe ich es auch gemacht. Das Aufbrechen erfolge überall dort wo es angebracht, allen Unterordnern des freigegebenen Ordners. Zugriff darauf bekam je eine dafür angelegte Sicherheitsgruppe. In dieser Sicherheitsgruppe z.B. Projekte war auch die Sicherheitsgruppe mit der Freigabe (beide Bezeichnung des Bereiches "Niederlassung". Also ein Mitglied der SiGrp Projekt auch von Niederlassung. Projket reichte als als Mitgliedschaft. Natürlich geht das Membern in die SiGrp auch einzeln.Wurde auch so gemacht, weil mein Kollege das nicht ...... .

 

Ein neuer Mitarbeiter der Niederlassung wurde beim Anlegen automatisch Mitglied der SiGrp Niederlassung, auf Sekretariate meist händisch, später auch automatisch, Projekte meist händisch, Leitung immer händisch. In Leitung waren i.d.R. die Leitungskraft und Assistenz. Wollte die Leitung jemanden etwas erlauben, dann konnte er selber die Berchtigung erteilen.

 

Es gab kein vorbesetztes RO. Wollte eine Sachbearbeiterin ein von ihr angelegte Objekt schützen, dann lag es bei ihr. Die EDV war dafür nicht zuständig. (Natürlich half ich, wenn ,eimn meine Kollegin Angelika Hilfe wollte.)

bearbeitet 8. September 2020 von lefg

[kaineanung 14]

vor einer Stunde schrieb Squire:

drum hab ich die auch auf dem Root heraußen ... aber so wie ich das in den Posts herausgelesen hab wollte der TO auf den jeweiligen Projektordnern jeweils die Vererbung händisch brechen.

Deshalb der Hinweis mit "This Folder Only"

"This Folder Only" ist wahrscheinlich die 'Technik' die ich nicht kannte und danach gefragt habe ob es irgendwas 'eleganteres' gibt statt jeden Projektordner 'händisch aufzubrechen' was die Vererbung angeht.

 

Und ja, das war mein bisheriger Plan: jeder PProjektordner wird aus der Vererbung herausgenommen, "Domänen-Benutzer" (die Lesen-Berechtigung vererbt bekommen) entfernen und nur noch die spezifischen Sicherheitsgruppen anlegen.

 

So, die Frage ist dann folgende:

Wo genau breche ich die Vererbung auf und setze Domänen-Benutzer auf Lesen und zwar 'This Folder Only'?

 

Ich habe einen Share auf dem ALLE Domänen-Benutzer lesend reinkommen.

Darunter habei ch unterschiedliche Ebenen bei denen die Domänen-Benutzer nach und nach entfernt werden sollen.

 

Also 1. Ebene:

- Share (Domänen-Benutzer -> lesen)

 

2. Ebene:

- Share\Austauschordner (Domänen-Benutzer -> ändern)

- Share\Projekte (Domänen-Benutzer -> Lesen)

- Share\Team1 (Domänen-Benutzer -> entfernt)

- Share\Team2 (Domänen-Benutzer -> entfernt)

 

3. Ebene

- Share\Projekte\Projekt1 (Domänen-Benutzer -> entfernt)

- Share\Projekte\Projekt2 (Domänen-Benutzer -> entfernt)

 

 

Meine Vorgehensweise wäre eben immer an der Stelle, an der Domänen-Benutzer -> entfernt werden, die Vererbunf aufzubrechen und Domänen-Benutzer eben rauslöschen.

 

Wie ich dieses 'This Folder only' verstanden habe mache ich das dann so:

1. Ebene:

- Share (Verebung abbrechen & Domänen-Benutzer -> lesen + "This Folder Only"

 

2. Ebene:

- Share\Austauschordner (Domänen-Benutzer -> ändern)

- Share\Projekte (Domänen-Benutzer -> Lesen + "This Folder only")

- Share\Team1 (Domänen-Benutzer -> entfernt)

- Share\Team2 (Domänen-Benutzer -> entfernt)

 

 

Somit spare ich mir das immer wiederkehrende "aufbrechen" und setze nur dort, wo die Domänen-Benutzer reinschauen dürfen (auch wenn sie dann eventuell keine Inhalte mehr bekommen falls die ABE keine Inhalte findet in welchem sie berechtigt wären), "This Folder Only" mit lesen-Berechtigung.

 

Ich werde dies in meiner Testumgebung mal umsetzen und schauen wie sich alles verhält.

 

Aber Grundsätzlich an alle die Frage:

Ist das dann die 'Lehrbuch'-Vorgehensweise? Ist das so okey und macht ihr das auch so oder so ähnlich?

 

 

Nachtrag:

ich merke gerade daß wenn ich auf 'Nur diesen Ordner' das Recht vergebe, ich dann natürlich nicht mehr in der Lage bin in diesem Ordner die Unterordner differenziert zu behandeln.

Im Share haben alle Domänen-User Lesen. Sind sie einmal drinnen, sehen sie alle Teamordner (Team1, Team2, Team3 usw..) obwohl ich nur Team1 anziegen lassen möchte. Mit dem aufbrechen der Vererbung kann ich das so erreichen, mit der mir neuen Vorgehensweise ("This folder only") geht das leider nicht.

 

Somit bleibt mir nur die Vorgehensweise mit dem aufbrechen der Vererbung an der Stelle wo ich diese benötige.

Ich könnte natürlich die Teamordner in ein Sammelordner packen, nur an der 2. Ebene (gleich unter dem Share) die Verebung aufbrechen und dann die Unterordner mit "This Folder Only" bestücken. Aber irgendwie weiß ich nicht ob ich doch lieber die Vererbung aufbrechen will statt diese Vorgehensweise zu nutzen...

Oder übersehe ich gerade irgendwas wichtiges dabei?

 

 

2. Nachtrag:

Es scheint meinen Fileserver relativ wenig zu beeindrucken dieses 'Nur für diesen Ordner' bzw. 'This folder only'. Jeglicher Unterordner ist auch sichtbar in dieser gleichen Ebene und somit entfällt dieses Vorgehensweise für mich komplett.

 

 

Somit bleibe ich bei der 'Vererbung aufbrechen'-Taktik... (sofern niemand hier widerspricht -> Eure Meinung ist mir am wichtigsten ;))

 

bearbeitet 8. September 2020 von kaineanung

[kaineanung 14]

Ich habe noch ein kleines Problem ermittelt:

Mein Vorgesetzter will für eine gewisse Zeit 'zweigleisig' fahren was das Laufwerksmapping angeht.

 

Wir reduzieren von momentanen 5 Mappings auf 2 (statt wie geplant auf 1).

Einmal in die Share (also Root) die für alle gleich ist (G-Laufwerk) und einmal in das Home-Verzeichnis der zugehörigen Gruppe (H-Laufwerk).

So, der Gruppenleiter der Gruppe T325 ist Mitglied der Sicherheitsgruppe "T325GL", seine Mitarbeiter sind Mitglieder der Sicherheitsgruppe "T325".

Ich mappe die Laufwerke per GPP -> Benutzerkonfiguration->Einstellungen->Windows-Einstellungen->Laufwerkszuordnungen und nutze dort die Zielgruppenadressierung.

Ich habe da dann viele G-Laufwerksmappings die sich in der Ziegruppenadressierung untersecheiden.

Jetzt habe ich aber dank der Verkettung der AD-Sicherheitsgruppen ddie Gruppe T325GL ist Mitglied der Gruppe T325.

Somit ist der Herr Gruppenleiter der Gruppe T325 Mitglied in beiden Gruppen und bekommt das Laufwerk zugeordnet was in der Reihenfolge priorität hat.

Kann man das irgendwie anders beeinflussen statt die Reihenfolge beachten zu müssen? Oder ist auch dies die normale Vorgehensweise?

Oder gibt es irgendwo ein Punkt 'Primäre Gruppe festlegen'? Denn bei der Zielgruppenadressierung habe ich gesehen das es eine Möglichkeit gibt die ungefähr folgendes aussagt: 'Nur wenn Mitglied der Primäre Gruppe'. Das würde mich hier jetzt interessieren wo ich das setzen kann und natürlich auch wider ob dies das Lehrbuchvorgehen darstellt?

 

 

Wenn jemand meint dies würde sogar in einem neuen Thread besser untergebracht sein so gebet mir Bescheidu nd ich mache ein neues Thema auf.

 

[lefg 276]

vor 2 Stunden schrieb kaineanung:

Kann man das irgendwie anders beeinflussen statt die Reihenfolge beachten zu müssen? Oder ist auch dies die normale Vorgehensweise?

 

Da habe ich keine Ahnung.

 

In unserer Hauptverwaltung trat folgendes auf: Die Wünsche der Benutzer und daraus resultierende Menge Arbeit. Bei der Neugliederung auf den FS entschied der Verwaltungsdirektor: Alle Benutzer erhalten zwei Laufwerke vordefiniert, einen Schmutzordner für Alle und ein Laufwerk zur Einstieg der Verwaltung. Gewünschte weitere Laufwerke in die Tiefe haben sich die Wünschenden selbst zu verbinden. Die Anleitung dazu stehe im Netz. Unsere Mitarbeiter seien hochqualifiziert. Ich war mir da natürlich nicht so sicher, denn ich kannte ja meine verwöhnten Kollegen, auch die Hochqualifizierten. Aber letztendlich schien es zu funktionieren. Der Verwaltungsdirektor machte keinen Rückzieher. Er war eisenhart, aber ich mochte ihn.

 

Vor so ungefähr 20 Jahren, ein neuer Alleingeschäftsführer sollte das Unternehmen retten und begann es zu verschlanken, besonders das Leitungspersonal auszurichten. Natürlich kam es zu Widerständen, "das gehe so nicht". Mag sein, aber der Mann liess sich nicht beirren: Er werde Leute finden die ihm folgen könnten. Das war ein ziemlicher Donnerhall. In Folge gingen einige Leute in Rente, wechselten den Arbeitgeber(kamen vom Regen unter Umgehung der Traufe direkt in die Sc***e). Ich konnte den Kerl nicht leiden, er war ein ziemliches A...., aber er brachte das Unternehmen auf Kurs und in die Gewinnzone. Und der Aufsichtsrat stand hinter ihm, es blieb nichts anderes übrig. Inzwischen ist der Mann weg, solche Leute bleiben oft nur eine Vertragslaufzeit.

 

Ich glaube das ereicht erstmal.

 

 

Da habe ich keine Ahnung.

 

In unserer Hauptverwaltung trat folgendes auf: Die Wünsche der Benutzer und daraus resultierende Menge Arbeit. Bei der Neugliederung auf den FS entschied der Verwaltungsdirektor: Alle Benutzer erhalten zwei Laufwerke vordefiniert, einen Schmutzordner für Alle und ein Laufwerk zur Einstieg der Verwaltung. Gewünschte weitere Laufwerke in die Tiefe haben sich die Wünschenden selbst zu verbinden. Die Anleitung dazu stehe im Netz. Unsere Mitarbeiter seien hochqualifiziert. Ich war mir da natürlich nicht so sicher, denn ich kannte ja meine verwöhnten Kollegen, auch die Hochqualifizierten. Aber letztendlich schien es zu funktionieren. Der Verwaltungsdirektor machte keinen Rückzieher. Er war eisenhart, aber ich mochte ihn.

 

Vor so ungefähr 20 Jahren, ein neuer Alleingeschäftsführer sollte das Unternehmen retten und begann es zu verschlanken, besonders das Leitungspersonal auszurichten. Natürlich kam es zu Widerständen, "das gehe so nicht". Mag sein, aber der Mann liess sich nicht beirren: Er werde Leute finden die ihm folgen könnten. Das war ein ziemlicher Donnerhall. In Folge gingen einige Leute in Rente, wechselten den Arbeitgeber(kamen vom Regen unter Umgehung der Traufe direkt in die Sc***e). Ich konnte den Kerl nicht leiden, er war ein ziemliches A...., aber er brachte das Unternehmen auf Kurs und in die Gewinnzone. Und der Aufsichtsrat stand hinter ihm, es blieb nichts anderes übrig. Inzwischen ist der Mann weg, solche Leute bleiben oft nur eine Vertragslaufzeit.

 

Ich glaube das ereicht erstmal.

bearbeitet 8. September 2020 von lefg

[Dukel 436]

7 hours ago, kaineanung said:

Jetzt habe ich aber dank der Verkettung der AD-Sicherheitsgruppen ddie Gruppe T325GL ist Mitglied der Gruppe T325.

Somit ist der Herr Gruppenleiter der Gruppe T325 Mitglied in beiden Gruppen und bekommt das Laufwerk zugeordnet was in der Reihenfolge priorität hat.

D.h. das "Home" Laufwerk für einen Gruppenleiter sind das für die Gruppenleiter und das für die Gruppe?

Ich würde dann für diesen Personenkreis ein extra Laufwerk vergeben.

D.h. die "normalen" Mitarbeiter bekommen G: (alle Shares) und H: (Team), die Gruppenleiter bekommen G: (alle Shares), H: (Team) und I: (Gruppenleiter).

[MurdocX 904]

Bei so viel Text ist es schwer dem Sachverhalt zu folgen. Mir persönlich wäre mehr "auf den Punkt kommen" lieber. Viel Erfolg mit den Berechtigungen. Mit den bisher gelieferten Informationen kann das gut umgesetzt werden.

[kaineanung 14]

vor 12 Stunden schrieb Dukel:

D.h. das "Home" Laufwerk für einen Gruppenleiter sind das für die Gruppenleiter und das für die Gruppe?

Ich würde dann für diesen Personenkreis ein extra Laufwerk vergeben.

D.h. die "normalen" Mitarbeiter bekommen G: (alle Shares) und H: (Team), die Gruppenleiter bekommen G: (alle Shares), H: (Team) und I: (Gruppenleiter).

Nein, das Home-Laufwerk des Gruppenleiters ist T325GL, die seiner Mitarbeiter T325.

Der Gruppenleiter ist Mitglied von T325GL, die Gruppe ist aber auch Mitglied der T325. Somit ist der Gruppenleiter Mitglied beider Gruppen (was ja Sinn hat da so verkettet auf der AD).

So, jetzt will ich der Gruppe T325GL (also dem Gruppenleiter) sein Homelaufwerk auf T325GL mappen, wenn aber T325 in der Zuordnungsreihenfolge (GPP) vorher eintritt, so bekommt er dieses gemappt da er ja auch dort Mitglied ist.

Die Frage ist: kann ich irgendwo bestimmen was die Primäre Mitgliedschaft ist und das soll zählen statt das von der AD 'aufgelösten Untermitgliedschaften' (ich kenne den Begriff dazu nicht)?

 

vor 2 Stunden schrieb MurdocX:

Bei so viel Text ist es schwer dem Sachverhalt zu folgen. Mir persönlich wäre mehr "auf den Punkt kommen" lieber. Viel Erfolg mit den Berechtigungen. Mit den bisher gelieferten Informationen kann das gut umgesetzt werden.

Meinst du mich damit? Da mir viele Begriffe fehlen muss ich halt mit Erklärungen arbeiten bis mir jemand den Begriff an den Kopf schmeisst. Daher sorry, ich gebe mein Bestes...

[MurdocX 904]

vor 3 Minuten schrieb kaineanung:

Meinst du mich damit? Da mir viele Begriffe fehlen muss ich halt mit Erklärungen arbeiten bis mir jemand den Begriff an den Kopf schmeisst. Daher sorry, ich gebe mein Bestes...

Auch, aber nicht ausschließlich. Konzepte im Forum zu erarbeiten sind schwer, weil die Möglichkeiten hier begrenzt sind. Besser sind ein oder zwei Unklarheiten, die man in der Tiefe detailliert behandeln kann. Andere Besucher die ähnliche Probleme haben, können sich schwer tun den Kern der Aussage aus den Antworten zu herauszulesen.

 

Ich möchte Dir empfehlen einfach in einer Testumgebung mit Benutzern anzufangen und Erfahrungen zu sammeln. Falls dann einzelne Fragen kommen, können diese dann erfahrungsgemäß besser, detaillierter und schneller beantwortet werden.