Programmverzeichnis zentral mit Sicherheitsgruppe versehen

[lips 10]

Hallo,

 

ich steh vor dem Problem, dass ich einem Verzeichnis (z. b. C:\Programme\Datenbank) auf ca. 30 Clients eine Sicherheitsgruppe (Datenbankuser) hinzufügen muss, die auch noch auf das Verzeichnis und alle Unterverzeichnise und Dateien vollzugriff hat.

 

Bei 30 Rechnern ist es eigentlich weniger der Aufwand von Rechner zu Rechner zu laufen und das händisch durchzuführen. Wäre halt doch schön, wenn das zentral möglich ist.

 

Schonmal Danke für Eure Hilfe.

Lips

[IThome 10]

Vielleicht mit einem Script und cacls.exe ?!

edit: mit einem GPO und darin ein Startscript in der Computerkonfiguration

[deubi 10]

Vielleicht klärst Du uns auch über die ganzen Umstände detailliert auf, und wir kommen auf einen völlig anderen Lösungsansatz?

Da Du Dich in Deinem Beispiel ausgerechnet auf einen Pfad namens "Datenbank" beziehst: Datenbankzugriff wird üblicherweise applikatorisch bewerstelligt und nicht durch Datei- oder Netzwerkdirektzugriff...

Daher meine Nachfrage :shock:

[rudy1212 10]

wie währe es wenn du eine gruppe machst ala p-dbusere und die per gpo auf die clients verteilst.

du machst einfach am dc-server das verzeichnis das du brauchst. unter computereinstellungen gibt es dateirechte (oder so ähnlich), da kannst du dann genau einstellen welche gruppe welches recht bekommt.

 

dere

rudy

[deubi 10]

wie währe es wenn du eine gruppe machst ala p-dbusere und die per gpo auf die clients verteilst.

du machst einfach am dc-server das verzeichnis das du brauchst. unter computereinstellungen gibt es dateirechte (oder so ähnlich), da kannst du dann genau einstellen welche gruppe welches recht bekommt.

 

dere

rudy

 

In Ergänzung meines vorhergehenden Postings: ich habe noch keine seriöse Applikation erlebt, die ich so sharen musste. Deshalb meine Skepsis. Ich gehe davon aus, dass in der Aufgabenstellung selber / dem Design eine grundlegende Fehlüberlegung drin steckt.

Ich werde es TUNLICHST vermeiden, Benutzern Zugriff zu geben auf Applikationsverzeichnisse auf dem Server.

[lips 10]

hi,

 

erstmal Danke für die vielen Vorschläge. Kurz noch zur Info: Das Verzeichnis liegt auf den Clients nicht auf dem Server!!!

 

@deubi: Es handelt sich um eine SQL-Datenbank. Lokal auf den einzelnen User-Clients ist das Programm installiert (sozusagen das Frontend). In diesem können User eigene Einstellungen (Farben, Listenansichten, etc.) einstellen. Damit diese Einstellungen auch gespeichert werden brauchen die User schreibzugriff. Gut ein Vollzugriff ist etwas übertrieben, aber meine User tun da eh nichts drinn und wenn, hab ich das in 2 Sekunden auf Standard zurück gestellt. Ach übrigens: Mein Datenbankaffe wollte wirklich die User als Hauptbenutzer einrichten... kann sich das jmd. Vorstellen? Da hätt ich doch zu viel Angst vor meinen Usern!

 

@rudy1212: Eine eigene Sicherheitsgruppe für die Datenbankuser hab ich schon eingerichtet. Auch schon getestet. Ich will mir halt nur die Arbeit sparen von Client zu Client zu rennen und bei dem einen Ordner die Sicherheitsgruppe hinzuzufügen und anschließend die vielen Häckchen zu setzten.

[deubi 10]

Lips: Deine Angaben sind etwas mager.

 

Ich gehe davon aus, dass die Konfigurationsdaten, die Deine Benutzer ändern können sollen, sich nicht lokal auf deren Workstation befinden, sondern >vermutlich< in Form von Parametern in einer Konfigurationstabelle in der Applikationsdatenbank auf Deinem Server enthalten sind. Bloss: Über Datei- oder Netzwerkzugriff kannst und DARFST Du Deinen Benutzern so keinen Zugriff geben.

Die Parameter würden, falls notwendig, über eine entsprechende Applikation geändert. Notfalls auch mittels Query Analyzer oder Entreprise Manager.

 

Grundsätzlich:

SQL-Clients connecten z.B. über ADODB, ODBC, OLEDB oder NamedPipes. Nichts davon hat etwas zu tun mit Shares oder NTFS. Das gilt auch für lokale SQL-Installationen: Zugriff auf den Inhalt der DB geht nur über diese Schnittstellen. Du kommst nicht über's FIlesystem an die darin enthaltenen Daten ran.

WARNUNG nochmals: Keinen Filezugriff an die Benutzer geben geben auf den Programmordner auf dem Server, der SQL enthält!

 

Wie weit bist Du mit SQL vertraut, hat's in Deinem Betrieb jemanden, der da sattelfest ist?

Ist diese Applikations betriebswichtig?

 

Falls Du gar keinen "zentralen" SQL-Server hast:

Du schreibst ja, die Applikation liegt auf den Clients. Hat JEDER EINZELNE Client eine MSDE? Wenn ja, würde ich mich dringendst mit dem Hersteller in Verbindung setzen und abklären, ob Du das nicht zentralisieren kannst.

[lips 10]

deubi: Kann sein das meine Angaben mager sind. Ich muss gestehen, dass ich mein Wissen für IT ja nur aus Leraning-by-Doing hab. Soviel hab ich mitlerweile schon gelernt, dass ich in meiner IT-Anlage weiß was ich machen kann und wo ich am besten die Finger davon lasse.

 

Das Programm selbst liegt auf den Clients lediglich die Datenbank auf einem zentralen MS-SQL-Server.

 

Mit SQL kenn ich mich nocht nicht wirklich aus. Ich weiß wo ich ein paar Einstellungen machen kann wo die Datenbanken liegen aber das wars auch - zumindest bisher... Muss halt noch lesen und lernen. Die Datenbank ist unser Hauptsystem also sehr Betriebswichtig. Der Hersteller hat mir aber auch gerade mitgeteilt, dass ich einfach den Usern vollzugriff auf das Clientseitig installierte Programm geben soll.

 

Übrigens: Finds echt super von dir, dass du dir gleich soviele Gedanken machst. Respekt! :)

[deubi 10]

Übrigens: Finds echt super von dir, dass du dir gleich soviele Gedanken machst. Respekt! :)

 

Danke *geschmeicheltfühl*

Im Ernst: das ist eine Betriebskrankheit. Ich habe mir den MCDBA hart erarbeitet. ;)

 

Ich empfehle DIr jedenfalls, einen Spezialisten vor Ort aufzubieten (vorzugsweise von Deinem Softwareanbeiter), der sich das Ganze nochmals anschaut. Wenn die Installation betriebskritisch ist, musst Du sie kontrollieren lassen. Oder wurde die Installation sogar von diesem Anbieter ausgeführt?

[lips 10]

ehre wem ehre gebührt

 

hab aber auch noch vor mein wissen zu erweitern... wär ja sonst sinnlos...

 

also ich hab gerade eine GPO erstellt in der ich unter sicherheitseinstellung / dateisystem (den Pfad auf %SystemDrive%/Programme/Datenbank) eingestellt und bei den Rechten dann die Gruppe DatenbankUser hinzugefügt mit Vollzugriff.

 

ich teste gerade an meiner testworkstation obs geht oder ned..

[deubi 10]

Nein, in der Hinsicht ist der Tipp von ITHome wohl passender. Versuch's erst in einem Testaufbau, bevor Du das im produktiven Netz machst

[IThome 10]

Das funktioniert genauso wie mit einem Script. So kann man natürlich auch Standardberechtigungen auf ein gegebenes Verzeichnis verteilen. Du solltest aber unbedingt darauf achten, dass diese Richtlinie sich nur auf Deine Clients bezieht, also dass Du eine OU hast, in der sich nur die Rechner befinden, auf die es auch angewendet werden soll und Du dort das GPO hinein linkst.

Ich spreche jetzt nur von dem Grundsatz, einem Verzeichnis entsprechende Berechtigung zentral zu vergeben, in Deinem speziellen Fall mag es nicht angebracht sein, da überlasse ich lieber deubi das Wort ...

edit: stimmt, unbedingt Testumgebung (ich würde auch eher ein Script nehmen)

[lips 10]

So also funktioniert jetzt - auch im "scharfen"-System! Was man nich alles mit GPO's machen kann. Hab grad nochmal mit meinem Datenbankfuzi telefoniert; es bleibt dabei einfach das Verzeichnis des Programms auf den Clients freizugeben (ich glaub ich hätte es auch Arbeitsvolume nennen sollen). Er hätte mitlerweile auch die Lösung aber der will ja auch nur Geld haben!...

 

Euch nochmal vielen Dank für Euere Hilfe!

[Drulok 10]

Ok , ich habe das Gleiche Problem mit einer Lexware Datenbank. Auf den CLients ist die Cleintinstall drauf. Da es aber div *.xml Files gibt welche die Ansicht Steuern und der Cleintbenutzer darauf Zugriff haben muss würde ich dich doch nochmal bitten, mir den genauen Link der GPO Einstellung zu posten.

 

Danke.

[IThome 10]

Beschreibe das mal genauer, dann können wir Dir bestimmt helfen ...