Jump to content

Wie Active Directory richtig aufbauen - Rechtemanagement


Recommended Posts

Bislang war die Sache ganz einfach. Ich habe eine OU die nennt sich "Firma1" und eine "Firma2". Darin jeweils die Benutzer und die Globale- und Domäne-Lokale Gruppen. Dann die Ordner entsprechend berechtigen. Fertig.

 

Nun aber gibt es die Situation, dass es eben nicht mehr die Ordner gibt die nur für "Firma1" und "Firma2" relevant sind sondern diverse Teilbereiche. Also muss das Rechtemanagement grundlegend überarbeitet werden.

 

Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. In diesem Beispiel nehmen wir jetzt einfach mal folgende Ordner

- Verwaltung - Alle Mitarbeiter lesenden Zugriff, ausgewählte Mitarbeiter schreibend

- Buchhaltung - Nur die Leute der Buchhaltung haben lesenden Zugriff, der Rest keinen Zugriff

- Personal - Nur die Leute vom Personal haben lesenden Zugriff, der Rest keinen Zugriff

- Temp - Alle haben lesenden und schreibenden Zugriff

 

Die Leute sollen aber jeweils in der OU ihrer Firma bleiben, sofern das überhaupt möglich ist, da jeder Firma gewisse Gruppenrichtlinien zugewiesen sind

Ich habe irgendwie absolut keine Idee, wie das Active Directory nun auszusehen hat, damit das vernünftig verwaltet werden kann.

Link to post
vor 2 Stunden schrieb Cryer:

Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte.

 

Moin

 

Grundsätzlich: AD und OUs sind eines,  Berechtigungen auf NTFS-Objekte(Ordner)  durch Sicherheitgruppen etwas anderes. Man unterscheide das also.

Benutzer sind Mitglieder von Sicherheitsgruppen.

Die Berechtigungen(NTFS) auf Ordner haben als nichts mit den OUs zu tun.

 

Wie es @Tesso vor mir schrieb,

vor 29 Minuten schrieb tesso:

AGDLP

ist dein Stichwort. Alles wurde vielfach hier im Forum diskutiert.

 

Hier jetzt alles nochmals durchkauen? Nun, wir werden sehen? Gegebenfalls mache ich mit. :)

 

Link to post

Moin,

 

ich bin auch kein Freund von Videos ... ich hab mir nur ein paar Ausschnitte angesehen, mein Eindruck ist: Der Typ hat es nicht verstanden. Es geht nicht darum, Globale Gruppen mit Domänenlokalen Gruppen zu doppeln, wie er es zeigt. Seine Darstellung geht am Kern vorbei und ist - gemessen am Thema - mindestens teilweise falsch.

 

Ich habe das hier mal so beschrieben, wie es eigentlich gedacht ist - du findest den Link ca. 1000-mal hier im Board:

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Und zu den Freigabeberechtigungen - das macht er zwar richtig, begründet es aber falsch:

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Die AD-Struktur selbst kann man nicht "richtig" oder "falsch" bauen, aber "günstig" oder "weniger günstig". Das hängt von der Administrationsstruktur ab. Wichtig: Bilde nicht das Organigramm ab, sondern die administrativen Anforderungen.

 

Gruß, Nils

 

  • Like 3
Link to post

Also das Prinzip von AGDLP habe ich schon verstanden (denke / hoffe ich). Es hapert vielmehr an der Umsetzung im AD. Hier mal ein Teilscreenshot aus dem Video. Kann man das so machen oder ist das schon falsch? Er hat eine OU für die Domain Locals und eine OU für die Globals erstellt und packt die dort dann alle entsprechend rein. Wenn das falsch ist, wie sieht es richtig aus? Es geht mir hier rein um die richtige Abbildung im AD.

agdlp.png

Link to post

Du meinst wie viele Benutzer? An dem Standort zur Zeit ~15-20 Benutzer bei 10-15 Ordnern. Ist jetzt nicht viel. Hängt damit zusammen, dass wir an einer übergeordneten Organisation angegliedert sind und daher das meiste über eine Citrix-Farm (die ich nicht betreue) läuft. Nur sehr wenig wird noch lokal gemacht.

 

Man weiß aber nie was die Zukunft bringt und deswegen will ich es jetzt gleich richtig aufziehen bzw. umgestalten. Kann ja sein, dass wir uns irgendwann von der übergeordneten Organisation lösen und dann alles selber machen. Dann sind das auf einen Schlag 150 Leute bei was weis ich viel vielen Ordnern und Berechtigungsstufen (schreiben, nur lesen). Daher auch meine anderen Threads. Einen kleinen Teil (der auf unserem RDS arbeitet) ist bereits losgelöst und kann nicht am Citrix-Programm der übergeordneten Organisation teilnehmen.

 

Für meine kleine Umgebung spielt das meiste keine Rolle, aber ich wills eben richtig machen und nicht so "Hauptsache es funktioniert".

Edited by Cryer
Link to post

Moin,

 

Auch bei 150 Usern brauchst du keine besonders große Struktur. Ich würde alle User in eine OU stecken. Gruppen in eine separate OU, die Aufteilung nach Globalen und Lokalen Gruppen ist nicht schlecht. Mehr an OUs wirst du kaum benötigen. Und wenn doch, änderst du es halt, sobald es ansteht. 

 

Eins der größten Missverständnisse beim AD-Design ist, dass man eine Struktur für die Ewigkeit entwerfen müsse. Muss man nicht.

 

Gruß, Nils

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...