A G dL P Richtig anwenden. Wie mach ich das ?

Guten Abend,

ich verzweifle mittlerweile an einem wahrscheinlich relativ simplen Problem.
Vielleicht kann mir hier jemand helfen.

Auf einem Server (WIndows Server 2012 R2) mit AD gibt es folgende Globale und Lokale Gruppen und Ordner:

GG-H-Einkäufer
GG-H-Einkäufer-int
GG-H-Einkäufer-nat

LG-Einkauf-Ä
LG-Einkauf-L
LG-interntional-Ä
LG-international-L
LG-national-Ä
LG-national-L

Einkauf
->international
->national

Die Mitglieder der GG-H-Einkäufer sollen Ändern Zugriff über das Netzwerk und über NTFS Ebene auf den gesamten Ordner Einkauf inkl. Unterordner haben.
Die Mitglieder der GG-H-Einkäufer-int und GG-H-Einkäufer-nat sollen jeweils auf ihren Ordner (international oder national) Ändern Zugriff haben und auf den
anderen Ordner Lesen Zugriff.

Wie kann ich das mittels A G dL P Strategie richtig umsetzen ?

Vielen Dank für eure Hilfe

Tommy

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 341244

Url: https://administrator.de/forum/a-g-dl-p-richtig-anwenden-wie-mach-ich-das-341244.html

Ausgedruckt am: 02.02.2025 um 14:02 Uhr

11 Kommentare

Neuester Kommentar

Moin,

naja in dem du genau das umsetzt:

User and computer accounts are members of global groups that represent business roles, which are members of domain local groups that describe resource permissions or user rights assignments.

Gruß

Hallo,

ich habe mittlerweile mehrere Versuche unternommen, allerdings habe immer entweder zuviel oder zuwenig Berechtigungen.

Hier mal mein Vorschlag:

Gruppe Jeder wurde bei Freigabe immer entfernt. Gruppe Benutzer wurde bei NTFS immer entfernt.

GG-H-Einkäufer -> LG-Einkauf-Ä
GG-H-Einkäufer-int -> LG-Einkauf-Ä
GG-H-Einkäufer-nat -> LG-Einkauf-Ä

GG-H-Einkäufer-int -> LG-Einkauf-L
GG-H-Einkäufer-nat -> LG-Einkauf-L

GG-H-Einkäufer-int -> LG-international-Ä
GG-H-Einkäufer-nat -> LG-national-Ä

Ordner | Freigabe | NTFS
Einkauf | LG-Einkauf-Ä | LG-Einkauf-Ä und LG-Einkauf-L
International | wird vererbt | LG-international-Ä
national | wird vererbt | LG-national-Ä

Sieht gut aus

, funktioniert aber leider nicht

1. Frage: Seit wann können Freigaben vererbt werden?
2. Frage: Wer ist Mitglied der GG's?

1. Ist es nicht so, dass die Unterordner (National und international) automatisch auch die gleiche Freigabe erhalten, wie der Hauptordner Einkauf ?

2. Mitglieder GG-H-Einkäufer ist nur der Abteilungsleiter. Mitglieder der GG-H-Einkäufer-nat und GG-H-Einkäufer-int sind jeweils die Mitarbeiter aus Einkauf international und Einkauf national nicht aber der Abteilungsleiter.

Aufgabe: Der Abteilungsleiter soll Ändern Zugriff auf alle Ordner inkl. Unterordner haben. Die Mitarbeiter aus international und national sollen nur Ändern auf jeweils ihre Ordner haben und Lesen auf den jeweils anderen.

Wie ich das machen würde:

GG-H-Einkäufer-int
Mitglieder: Jack, Donald, Francois

GG-H-Einkäufer-nat
Mitglieder: Hans, Otto, Ute

GG-H-Einkäufer-master
Mitglieder: Chef, Prokurist, IT

GG-H-Einkäufer
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer, nat, GG-H-Einkäufer-master

---

LG-Einkauf-RW
Mitglieder: GG-H-Einkäufer-master

LG-Einkauf-R
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer,

LG-interntional-RW
Mitglieder: GG-H-Einkäufer, GG-H-Einkäufer-int

LG-international-R
Mitglieder: GG-H-Einkäufer-nat

LG-national-RW
Mitglieder: GG-H-Einkäufer, GG-H-Einkäufer-nat

LG-national-R
Mitglieder: GG-H-Einkäufer-int

---
NTFS:
Ordner Einkauf
RW: LG-Einkauf-RW
R: LG-Einkauf-R

Ordner Einkauf>international
RW: LG-interntional-RW
R: LG-interntional-R

Ordner Einkauf>national
RW: LG-national-RW
R: LG-national-R

Vererbung zwischen Einkauf und Unterordner deaktivieren

---
Freigabe
Ordner Einkauf
Mitglieder: LG-Einkauf-RW > Vollzugriff

Danke schonmal für deine Lösung.

Das Problem ist aber, dass ich mit den GG auskommen muss. Ich darf keine neuen erstellen

Bei den LG's bin ich frei. Die Admins habe ich immer mit Vollzugriff hinzugefügt (Freigabe und NTFS).

OK. War eh nicht ideal - vor allem nicht so wie ich das wirklich machen würde. Vererbungen sollten nur unterbrochen werden, wenn es unbedingt notwendig ist.

Also so:

GG-H-Einkäufer-int
Mitglieder: Jack, Donald, Francois

GG-H-Einkäufer-nat
Mitglieder: Hans, Otto, Ute

GG-H-Einkäufer
Mitglieder: Abteilungsleiter

---
LG-Einkauf-Freigabe
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer-nat, GG-H-Einkäufer

LG-Einkauf-RW
Mitglieder: GG-H-Einkäufer

LG-Einkauf-R
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer,

LG-Einkauf-int-RW
Mitglieder: GG-H-Einkäufer-int

LG-Einkauf-nat-RW
Mitglieder: GG-H-Einkäufer-nat

---
NTFS:
Ordner Einkauf
RW: LG-Einkauf-RW
R: LG-Einkauf-R

Ordner Einkauf>international
RW: LG-interntional-RW

Ordner Einkauf>national
RW: LG-national-RW

---
Freigabe
Ordner Einkauf
Mitglieder: LG-Einkauf-Freigabe > Vollzugriff

Ich habe immer ohne eine extra LG für die Freigabe probiert zu lösen.

Kenn mich jetzt nicht so gut mit dem Geschäft aus, da ich das halt gerade lerne, aber ist es üblich extra LG für Freigaben zu erstellen ?

Kann das sein, das du das ganze Prinzip noch nicht verstanden hast?
Wie willst du sonst die Freigabe transparent / nachvollziehbar ohne GG einrichten?

Du hast tatsächlich recht, so ganz verstanden hab ichs noch nicht, deswegen poste ich ja hier

Na die Sache mit den Gruppen Global und Lokal ist mir schon klar. Allerdings habe ich ebend noch nicht gesehen, dass es eine ganz separate
Gruppe nur für die Freigabe gibt. So wie du es eben mit der LG-Einkäufer-Freigabe gemacht hast, die sonst für nix anderes benutzt wird.

Das liegt an zweierlei Dingen:
1. Euer Konstrukt ist nicht zu Ende gedacht und damit hinderlich
2. Es ist jetzt so, dass diese Gruppe nirgends anders gebraucht wird - dass kann sich aber ändern.

Und noch zum Punkt 2: Ich habe immer wieder Gruppen, die noch nie gebraucht wurden. Sie hätten aber gebraucht werden können, weil sie eine sinnvolle Gruppe repräsentieren. Für die Übersicht allerdings waren sie immer hilfreich.

Frage Microsoft Windows Server

Heiß diskutiert