chnie123
Goto Top

AD Berechtigungsvergabe - best practise

Hallo Zusammen,

ich beschreibe mal kurz meine Umgebung:

- Ich habe mehrere User (u1, u2, u3, u4)
- Diese sollen alle auf eine Freigabe zugreifen (TEST)
- in dieser Freigabe (TEST) befinden sich Ordner mit den Namen (Projekt1, Projekt2, Projekt3, Projekt4)

jetzt darf aber z.B. der User u1 nur auf Projekt1 zugreifen usw.

Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben, da diese Struktur noch weiter wächst und die übersicht best möglich erhalten bleiben soll.

generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?

Content-Key: 329499

Url: https://administrator.de/contentid/329499

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: 132272
Lösung 132272 15.02.2017 aktualisiert um 13:27:01 Uhr
Goto Top
Zitat von @chnie123:
Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben,
Korrekt, das sollte man möglichst immer vermeiden.
da diese Struktur noch weiter wächst und die übersicht best möglich erhalten bleiben soll.
generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?
Gerade weil die Struktur noch weiter wächst macht das definitiv Sinn!

Gruß
Mitglied: chnie123
chnie123 15.02.2017 um 13:36:50 Uhr
Goto Top
Ich habe nur gerade nicht so recht eine Lösung, da ja u1 nur auf Projekt1 und u2 nur auf Projekt2 zugreifen darf...

Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
Mitglied: emeriks
Lösung emeriks 15.02.2017 um 13:40:58 Uhr
Goto Top
Hi,
Ich habe nur gerade nicht so recht eine Lösung, da ja u1 nur auf Projekt1 und u2 nur auf Projekt2 zugreifen darf...

Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
Du erstellt keine Gruppen für Benutzer, sondern für Ressourcen, für welche Du diesen Gruppen Rechte erteilen willst. Die Benutzer werden dann all jenen Gruppen hinzugefügt, für deren assoziierten Ressourcen der Benutzer die Rechte der Gruppe erhalten soll.
"Denke es so herum". Dann siehst Du auch den Baum im Wald.

E.
Mitglied: 132272
Lösung 132272 15.02.2017 aktualisiert um 13:42:54 Uhr
Goto Top
Du erstellt keine Gruppen für Benutzer, sondern für Ressourcen, für welche Du diesen Gruppen Rechte erteilen willst.
So isses, dachte eigentlich das wäre klar gewesen wenn man AGDLP hier schon erwähnt face-smile
Mitglied: emeriks
Lösung emeriks 15.02.2017 aktualisiert um 13:47:37 Uhr
Goto Top
Außerdem: Wenn schon AGDLP dann,
- für eine Ressource je Berechtigungsstufe eine Domänenlokale Gruppe erstellen (z.B. "Projekt_1_Lesen" und "Projekt_1_Ändern" und "Projekt_1_Vollzugriff")
- dann für jede Mitarbeiterfunktion eine Globale Gruppe erstellen (z.B. "Projekt_1_Mitarbeiter", "Projekt_1_Leiter") --> oft auch "Rolle" genannt
- diese Rollen-Gruppen den entsprechenden Berechtigungsgruppen hinzufügen
- die Benutzer der Mitarbeiter den entsprechenden Rollen-Gruppen hinzufügen

Beachte: Erst nach Neuanmeldung wirken neue Gruppenmitschaften.

Edit: Und natürlich nicht vergessen, den Berechtigungsgruppen die entsprechenden Rechte zu erteilen.
Mitglied: chnie123
chnie123 15.02.2017 um 13:52:22 Uhr
Goto Top
okay. Irgendwie hatte ich echt ein brett vorm Kopf... so rum ergibt das natürlich Sinn. Vielen Dank für eure Denkanstöße face-smile