Jump to content

Berechtigungen auf Netzwerkpfad basierend auf AD Profil


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

sorry für die wahrscheinlich sehr dumme Frage, aber ich bin kein IT-Admin und bekomme hierzu leider bei uns keine Hilfe:

 

Ich nehme an, dass man AD Usern ein Profil zuweist. Ich nehme außerdem an, dass man Rechte auf Netzwerkpfade auf Basis dieses Profils vergeben kann, sodass alle User mit diesem Profil Schreib- und Leserechte auf diesen Pfad haben.

 

Ist das korrekt?

 

 

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

ein "Profil" ist in dem Zusammenhang in Windows ein Satz von Einstellungen, die steuern, wie der Windows-Desktop sich für den jeweiligen Benutzer verhält und wie die Benutzeroberfläche aussieht. Das wird oft missverstanden, weil außerhalb von Windows der Begriff "Profil" anders verwendet wird. Mit Berechtigungen hat ein Windows-Profil nichts zu tun.

 

Dein Gedanke ist aber so verkehrt nicht, nur benutzt man da andere Begriffe. In Windows und AD nimmt man User (also Benutzerkonten) in Gruppen auf. Diese Gruppen erhalten dann Berechtigungen auf Dateipfade oder andere Ressourcen. Jeder User, der Mitglied einer solchen Gruppe ist, hat dann alle Berechtigungen, die der Gruppe zugewiesen wurden. Dabei kann ein User gleichzeitig in (nahezu) beliebig vielen Gruppen Mitglied sein und so seinen eigenen Satz an Berechtigungen erhalten.

 

Der Frage von Norbert schließe ich mich an: Was willst du denn erreichen?

 

Gruß, Nils

 

Link zu diesem Kommentar

Danke für die Antworten. Dann korrigiere ich mich hier schonmal und muss von Gruppe statt Profil sprechen, alles klar.

 

Ich will, dass auch zukünftige User mit Gruppe X Rechte auf den o.g. Pfad haben ohne dass da irgendjemand jedes Mal manuell was mit zu tun hat oder ich dem hinterher rennen muss.

bearbeitet von Venyo
Link zu diesem Kommentar

Mein Idealfall:

 

Es gibt pro Abteilung ein Gruppe in der alle MA der Abteilung Mitglied sind. Die Abteilungsgruppe ist wiederum Mitglied verschiedener Gruppen, welche auf diverse Ressourcen (z.B. Freiagben etc. pp.) Zugriffsrechte haben.

 

Wenn ein neuer MA eingestellt wird muss dieser nur noch Mitglied in der Abteilungs-Gruppe sein, und alles ist schick (Sonderlocken ausgenommen.

 

Für Berechtigungen auf Dateisysteme lege ich immer eine Lese- und eine Schreibgruppe an (man weiss ja nie)

Link zu diesem Kommentar
vor 19 Stunden schrieb tesso:

Ich habe häufig noch eine deny Gruppe dazu.

Ich vermeide generell Deny ACEs. Stattdessen verändere ich die Verzeichnisstruktur. Berechtigungen werden nur bis zur 3. Tiefe gesetzt und ab dort nur noch vererbt. Read-Only und Read-Write reicht dann vollkommen. Das vereinfacht das Troubleshooting, die Administration und hält die Gruppenmitgliedschaften gering. 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...