Jump to content

ABE in Zielgruppenadressierung (GPP) nicht nutzen

kaineanung

Von kaineanung
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

kaineanung Experienced

kaineanung   14

Geschrieben
Geschrieben

Hallo Leute,

 

ich bin mir nicht ganz sicher um den Begriff ABE bzw. ob ich das richtig verstanden habe was dieses Access Base Enumeration genau macht (ich weiß nur das es das macht was ich auf dem Fileserver haben will -> alles verstecken was einen nichts angeht Mitgliedschaftstechnisch).

 

Wenn das aber, und davon gehe ich auch aus, auch das 'Auflösen' der Mitglieschaftsverkettungen 'nach oben' bedeutet, so stört es mich massiv in der GPP-Zielgruppenadressierung.

Aber ein Beispiel wird das viel besser verdeutlichen:

 

Ich habe eine AD-Gruppe 'Kamera-WE-Eingang' der alle Mitarbeiter aus dem Wareneingang (TeamWE) angehören. Ich setze eine Verknüpfung auf den Desktop zum VLC-Player mit dem rtsp-Stream zu der Kamera die den Lieferanten-Eingang im Wareneingang überwacht.

 

Ich habe eine Zielgruppenadressierung gesetzt die das macht wenn der Benutzer Mitglied der Sicherheitsgruppe 'Kamera-WE-Eingang'.

Soweit hat auch alles geklappt.

 

ABER: jetzt meldet sich der Teamleiter 'Produktion und Logistik' (TL_PL), dem auch das Team 'Wareneingang' (TeamWE) angehört, und fragt mich warum er plötzlich diesen Link auf seinem Desktop bekommen hat und der den gar nicht haben will.

Mir war gleich klar was los ist:

 

Meine Zielgruppenadressierung sollte nur das Team 'TeamWE' betreffen, nicht die anderen AD-Gruppen die Mitglieder dieser AD-Gruppe sind.

 

Die Verkettung ist wie folgt:

Geschäftsführung (GF) -> Teamleiter (TL_PL) -> Koordinator (K_PL1) -> Gruppenleiter (TeamWE_GL) -> Gruppe (TeamWE)

 

Ich habe nun die AD-Gruppe 'TeamWE' und der AD-Gruppe 'TeamWE_GL' in die AD-Gruppe 'KAmera-WE-Eingang' aufgenommen weil ich diesen Usern den Kameralink auf den Desktop anlegen möchte.

b***d ist nur das nun der Teamleiter 'TL_PL' dies auch bekommen hat. Sicherlich auch die Geschäftsführung 'GF' und alle in der Kette.

Wie kann ich das unterbinden in der GPO/GPP-Zielgruppenadressierung?

 

Die ABE macht ja u.a. dieses 'Auflösen' der Mitgliedschaften 'nach oben', oder? Vielleicht macht das auch die Active Directory auch ohne ABE, aber mir ist es erst jetzt aufgefallen und ich habe da noch nicht viel Erfahrung (bis Anfang dieses Jahres hatten wir noch einen W2K3-DC ohne jegliche GPO und ABE usw.)

 

Alles in Allem zusammengefasst:

Wie kann ich in der Zielgruppenadressierung eine Gruppe 'adressieren' ohne das andere Gruppen, die Mitglieder sind, mit betroffen sind?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 16 Minuten schrieb Dukel:

Was hat das alles mit ABE zu tun? Das wirkt nur bei Fileservern, dass man nur diese Elemente sieht, auf die man Rechte hat.

Ok. Habe ja auch geschrieben daß ich das nicht weiß und es selber, als Anfänger, für möglich halte.

 

Somit macht die AD das von sich aus mit dem 'Auflösen' der Kette der Mitgliedschaften. Kann ich das in der Zielgruppenadressierung irgendwie unterbinden?

Ich will nur die eine Gruppe Adressieren und nicht die Gruppen die von dieser selbst Mitglied sind. Geht das?

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
Am 25.9.2020 um 16:22 schrieb Dukel:

Ich kann dir nicht folgen, wer wo in welcher Gruppe ist und welche Gruppe wo ist und was gehen soll und was nicht.

 

Sagt dir eine 'Verkettung' der Sicherheitsgruppen in der AD etwas?

Eine AD-Sicherheitsgruppe ist Mitglied der Anderen, diese wiederum einer Weiteren usw...

 

Hier meine AD-Sicherhheitsgruppen-Verkettung:

('->' bedeutet 'Ist Mitglied von')

 

GF -> Team1 -> Koordinator1 -> Gruppenleiter1 -> Gruppe1

 

(GF = Geschäftsführung. Diese AD-Sicherheitsgruppe ist Mitglied von allen Teams-AD-Sicherheitsgruppen. Jede AD-Sicherheitsgruppe 'Team' ist Mitglied von seinen Koordinatoren. Jeder Koordinator-AD ist Mitglied von den Gruppenleitungen und diese letztendlich von deren Gruppen selber.

 

Mein Problem bei der Sache ist folgendes:

Verteile ich eine Verknüpfung auf den Desktop aller Mitglieder von 'Gruppe1', bekommt dies automatisch die übergeordneten Mitglieder ebenfalls. In meinem Beispiel also 'Gruppenleiter1', 'Koordinator1', 'Team1' und 'GF'. Ich möchte dies aber nur in der 'Gruppe1' verteilen und nicht automatisch in alle übergeordneten Gruppen auch.

 

Bei den Berechtigungen auf dem FS ist das ja so toll und gewollt, bei der GPP-Zielgruppenadressierung will ich das natürlich nicht haben.

Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 14 Minuten schrieb tesso:

Baue deine Gruppen anders. 

 

Ich habe hier noch einen anderen Thread bezüglich unserer Migration des Fileservers. Wir kommen von einem Firmen-Organigramm und ich soll, laut diversen Profis hier, auf flache Ordnerstrukturen wechseln und ABE einschalten und pro Ordner 2x AD-Sicherheitsgruppen erstellen (WRITE und READONLY) und das 'Auflösen' der Schachtelung der AD überlassen.

Das Auflösen der Verschachtelten Gruppen ist ja Sinnvoll auf dem FS -> der Vorgesetzte sieht automatisch die anderen Ordner und bedarf keiner weiteren Mitgliedschaft. Das Prinzip stört aber massiv die GPO/GPP-Zielgruppenadressierung. Ich frage immer wieder in die Runde: wie macht ihr das so und was ist der Standard-Weg das umzusetzen?

Bisher hat niemand was anderes gemeint bis auf dich jetzt und ich hoffe ich muss da nicht viel umbauen weil die Migration Schrittweise durchgeführt wird (Gruppe für Gruppe) und wir mitten drinn sind.

Also, bitte erkläre mir wie du das meinst mit dem 'Baue deine Gruppe anders.'?

 

Link zu diesem Kommentar
tesso Veteran

tesso   360

Geschrieben
Geschrieben (bearbeitet)

@keineahnungDie Verschachtelung kannst du nicht abschalten. Also musst du deine Gruppen anders bauen, damit du eine hast die auch bei GPP hilft. 

Oder du gehst zurück auf Anfang und überlegst wie du deine GPO anders baust. 

Da ich deine Umgebung nicht kenne, kann ich dir dabei nicht helfen.

 

@Dukel Dein Vorschlag sieht doch ganz brauchbar aus. So in etwa schwirrte mir das auch im Kopf herum.

bearbeitet von tesso
Link zu diesem Kommentar
kaineanung Experienced

kaineanung   14

Geschrieben
  • Autor
Geschrieben
vor 36 Minuten schrieb Dukel:

Du kannst z.B. Gruppe1-MA, Gruppe1-Leitung erstellen. In das erste die Mitarbeiter, in das zweite die Leitung. Dann erstellst du eine Gruppe "Gruppe1" in der beide Gruppen mitglied sind

In die FS-Gruppe1-RW kommt dann Gruppe1, weil im FS sollen ja MA und Leitung Zugriff haben. In die Kamera Gruppe kommt nur die Gruppe1-MA.

 

Wie ich dich verstanden habe bilde ich einfach eine Gruppe die die 2 Gruppen (MA-Gruppe und Leitung) zusammenfasst für den FS.

 

- Gruppe1 (Ebene 1)

    -> Gruppe1_MA (Ebene 2)

    -> Gruppe1_GL (Ebene 2)

- Gruppe2 (Ebene 1)

    -> Gruppe2_MA (Ebene 2)

    -> Gruppe2_GL (Ebene 2)

- usw.

 

Zielgruppenadressierung auf Ebene 2, FS-Berechtigung auf Ebene 1, richtig?

 

Und was mache ich dann mit dem Koordinator und Teamleiter? Die sind ja nicht Teil dieser Gruppe1, sollen auf dem FS aber alle Ordner sehen können.

So wie es momentan ist löst der FS alles bis nach oben hin auf (oben Hierarchie der Firma hoch bis zur GF) und macht das wie es eigentlich vorgesehen war (denke ich das es so vorgesehen ist).

 

Also so:

 

GF

-> Team (GF ist Mitglied von Team)

--> Koordinator (Team ist Mitglied von Koordinator)

---> Gruppenleitung (Koordinator ist Mitglied von Gruppenleitung)

----> Gruppe (Gruppenleitung ist Mitglied von Gruppe)

 

Wenn ich die Gruppe nun aufteile in

-> Gruppe1

--> Gruppe1_MA

--> Gruppe1_TL

wird dann in der Zielgruppenadressierung nach oben hin ja doch wieder aufgelöst, oder? (Wenn der koordinator weiterhin Mitglied von 'Gruppe1' wäre)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...