Venyo 0 Geschrieben 10. März 2022 Melden Teilen Geschrieben 10. März 2022 Hallo zusammen, sorry für die wahrscheinlich sehr dumme Frage, aber ich bin kein IT-Admin und bekomme hierzu leider bei uns keine Hilfe: Ich nehme an, dass man AD Usern ein Profil zuweist. Ich nehme außerdem an, dass man Rechte auf Netzwerkpfade auf Basis dieses Profils vergeben kann, sodass alle User mit diesem Profil Schreib- und Leserechte auf diesen Pfad haben. Ist das korrekt? Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 10. März 2022 Melden Teilen Geschrieben 10. März 2022 vor 1 Minute schrieb Venyo: Ich nehme an, dass man AD Usern ein Profil zuweist. Die Annahme, dass man das macht ist falsch. Man kann das machen, es wird aber nicht empfohlen. Was ist denn der Grund der Überlegungen? Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.918 Geschrieben 10. März 2022 Beste Lösung Melden Teilen Geschrieben 10. März 2022 Moin, ein "Profil" ist in dem Zusammenhang in Windows ein Satz von Einstellungen, die steuern, wie der Windows-Desktop sich für den jeweiligen Benutzer verhält und wie die Benutzeroberfläche aussieht. Das wird oft missverstanden, weil außerhalb von Windows der Begriff "Profil" anders verwendet wird. Mit Berechtigungen hat ein Windows-Profil nichts zu tun. Dein Gedanke ist aber so verkehrt nicht, nur benutzt man da andere Begriffe. In Windows und AD nimmt man User (also Benutzerkonten) in Gruppen auf. Diese Gruppen erhalten dann Berechtigungen auf Dateipfade oder andere Ressourcen. Jeder User, der Mitglied einer solchen Gruppe ist, hat dann alle Berechtigungen, die der Gruppe zugewiesen wurden. Dabei kann ein User gleichzeitig in (nahezu) beliebig vielen Gruppen Mitglied sein und so seinen eigenen Satz an Berechtigungen erhalten. Der Frage von Norbert schließe ich mich an: Was willst du denn erreichen? Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Venyo 0 Geschrieben 10. März 2022 Autor Melden Teilen Geschrieben 10. März 2022 (bearbeitet) Danke für die Antworten. Dann korrigiere ich mich hier schonmal und muss von Gruppe statt Profil sprechen, alles klar. Ich will, dass auch zukünftige User mit Gruppe X Rechte auf den o.g. Pfad haben ohne dass da irgendjemand jedes Mal manuell was mit zu tun hat oder ich dem hinterher rennen muss. bearbeitet 10. März 2022 von Venyo Zitieren Link zu diesem Kommentar
NilsK 2.918 Geschrieben 10. März 2022 Melden Teilen Geschrieben 10. März 2022 Moin, schau dir mal dies an. Vielleicht hilft das. [Windows-Gruppen richtig nutzen | faq-o-matic.net] https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Gruß, Nils Zitieren Link zu diesem Kommentar
Venyo 0 Geschrieben 10. März 2022 Autor Melden Teilen Geschrieben 10. März 2022 Ok, daraus würde ich mitnehmen: es ist möglich, Gruppen zu erstellen und Rechte daran zu hängen und es ist auch Best Practice, weil es natürlich Quark ist, ständig bei neuen Benutzern alle Rechte nochmal einzeln zu vergeben. Dann werde ich das mal anfordern und mich nicht mit Ausreden abspeisen lassen, danke Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 10. März 2022 Melden Teilen Geschrieben 10. März 2022 Eh der Eindruck aufkommt, meine Aussage oben wäre falsch. :) Deine Schlussfolgerung bzgl. Best Practice ist korrekt und meine Aussage oben auch unter der Annahme, dass Profil eben nicht Gruppe meinte. :) Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 14. März 2022 Melden Teilen Geschrieben 14. März 2022 Mein Idealfall: Es gibt pro Abteilung ein Gruppe in der alle MA der Abteilung Mitglied sind. Die Abteilungsgruppe ist wiederum Mitglied verschiedener Gruppen, welche auf diverse Ressourcen (z.B. Freiagben etc. pp.) Zugriffsrechte haben. Wenn ein neuer MA eingestellt wird muss dieser nur noch Mitglied in der Abteilungs-Gruppe sein, und alles ist schick (Sonderlocken ausgenommen. Für Berechtigungen auf Dateisysteme lege ich immer eine Lese- und eine Schreibgruppe an (man weiss ja nie) Zitieren Link zu diesem Kommentar
tesso 373 Geschrieben 14. März 2022 Melden Teilen Geschrieben 14. März 2022 vor 3 Stunden schrieb djmaker: Für Berechtigungen auf Dateisysteme lege ich immer eine Lese- und eine Schreibgruppe an (man weiss ja nie) Ich habe häufig noch eine deny Gruppe dazu. 1 Zitieren Link zu diesem Kommentar
djmaker 95 Geschrieben 14. März 2022 Melden Teilen Geschrieben 14. März 2022 vor 11 Minuten schrieb tesso: Ich habe häufig noch eine deny Gruppe dazu. GGf. noch eine Gruppe für Backup / restore . . . . wenn man es so weit treiben möchte / muss. Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 15. März 2022 Melden Teilen Geschrieben 15. März 2022 vor 19 Stunden schrieb tesso: Ich habe häufig noch eine deny Gruppe dazu. Ich vermeide generell Deny ACEs. Stattdessen verändere ich die Verzeichnisstruktur. Berechtigungen werden nur bis zur 3. Tiefe gesetzt und ab dort nur noch vererbt. Read-Only und Read-Write reicht dann vollkommen. Das vereinfacht das Troubleshooting, die Administration und hält die Gruppenmitgliedschaften gering. Zitieren Link zu diesem Kommentar
tesso 373 Geschrieben 15. März 2022 Melden Teilen Geschrieben 15. März 2022 vor 17 Minuten schrieb MurdocX: Ich vermeide generell Deny ACEs Ich auch. Wir haben aber Fälle, da soll ein User in der Gruppe sein und trotzdem nicht auf ein Share zugreifen. Zitieren Link zu diesem Kommentar
MurdocX 933 Geschrieben 16. März 2022 Melden Teilen Geschrieben 16. März 2022 Hallo tesso, Am 15.3.2022 um 11:44 schrieb tesso: Ich auch. Wir haben aber Fälle, da soll ein User in der Gruppe sein und trotzdem nicht auf ein Share zugreifen. Spezialfälle gibt's immer. Ich wollte nur darauf Hinweisen das es generell vermieden werden sollte und wie ich damit umgehe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.