6
AD Berechtigungsvergabe - best practise
Hallo Zusammen,
ich beschreibe mal kurz meine Umgebung:
- Ich habe mehrere User (u1, u2, u3, u4)
- Diese sollen alle auf eine Freigabe zugreifen (TEST)
- in dieser Freigabe (TEST) befinden sich Ordner mit den Namen (Projekt1, Projekt2, Projekt3, Projekt4)
jetzt darf aber z.B. der User u1 nur auf Projekt1 zugreifen usw.
Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben, da diese Struktur noch weiter wächst und die übersicht best möglich erhalten bleiben soll.
generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?
ich beschreibe mal kurz meine Umgebung:
- Ich habe mehrere User (u1, u2, u3, u4)
- Diese sollen alle auf eine Freigabe zugreifen (TEST)
- in dieser Freigabe (TEST) befinden sich Ordner mit den Namen (Projekt1, Projekt2, Projekt3, Projekt4)
jetzt darf aber z.B. der User u1 nur auf Projekt1 zugreifen usw.
Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben, da diese Struktur noch weiter wächst und die übersicht best möglich erhalten bleiben soll.
generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329499
Url: https://administrator.de/forum/ad-berechtigungsvergabe-best-practise-329499.html
Ausgedruckt am: 17.04.2025 um 05:04 Uhr
6 Kommentare
Neuester Kommentar
Zitat von @chnie123:
Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben,
Korrekt, das sollte man möglichst immer vermeiden.Ich würde es gern vermeiden die Berichtigungen auf dem Ordner direkt an die User zu vergeben,
da diese Struktur noch weiter wächst und die übersicht best möglich erhalten bleiben soll.
generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?
Gerade weil die Struktur noch weiter wächst macht das definitiv Sinn!generell würde ich ja nach AGDLP gehen.. Nur macht das hier Sinn?
Gruß
Ich habe nur gerade nicht so recht eine Lösung, da ja u1 nur auf Projekt1 und u2 nur auf Projekt2 zugreifen darf...
Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
Hi,
"Denke es so herum". Dann siehst Du auch den Baum im Wald.
E.
Ich habe nur gerade nicht so recht eine Lösung, da ja u1 nur auf Projekt1 und u2 nur auf Projekt2 zugreifen darf...
Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
Du erstellt keine Gruppen für Benutzer, sondern für Ressourcen, für welche Du diesen Gruppen Rechte erteilen willst. Die Benutzer werden dann all jenen Gruppen hinzugefügt, für deren assoziierten Ressourcen der Benutzer die Rechte der Gruppe erhalten soll.Also müsste ich für jeden User eine eigene globale Gruppe erstellen und diese jeweils über eine lokale gruppe (mit den Rechten) entsprechend einem Ordner zuordnen oder?
"Denke es so herum". Dann siehst Du auch den Baum im Wald.
E.
Du erstellt keine Gruppen für Benutzer, sondern für Ressourcen, für welche Du diesen Gruppen Rechte erteilen willst.
So isses, dachte eigentlich das wäre klar gewesen wenn man AGDLP hier schon erwähnt 
Außerdem: Wenn schon AGDLP dann,
- für eine Ressource je Berechtigungsstufe eine Domänenlokale Gruppe erstellen (z.B. "Projekt_1_Lesen" und "Projekt_1_Ändern" und "Projekt_1_Vollzugriff")
- dann für jede Mitarbeiterfunktion eine Globale Gruppe erstellen (z.B. "Projekt_1_Mitarbeiter", "Projekt_1_Leiter") --> oft auch "Rolle" genannt
- diese Rollen-Gruppen den entsprechenden Berechtigungsgruppen hinzufügen
- die Benutzer der Mitarbeiter den entsprechenden Rollen-Gruppen hinzufügen
Beachte: Erst nach Neuanmeldung wirken neue Gruppenmitschaften.
Edit: Und natürlich nicht vergessen, den Berechtigungsgruppen die entsprechenden Rechte zu erteilen.
- für eine Ressource je Berechtigungsstufe eine Domänenlokale Gruppe erstellen (z.B. "Projekt_1_Lesen" und "Projekt_1_Ändern" und "Projekt_1_Vollzugriff")
- dann für jede Mitarbeiterfunktion eine Globale Gruppe erstellen (z.B. "Projekt_1_Mitarbeiter", "Projekt_1_Leiter") --> oft auch "Rolle" genannt
- diese Rollen-Gruppen den entsprechenden Berechtigungsgruppen hinzufügen
- die Benutzer der Mitarbeiter den entsprechenden Rollen-Gruppen hinzufügen
Beachte: Erst nach Neuanmeldung wirken neue Gruppenmitschaften.
Edit: Und natürlich nicht vergessen, den Berechtigungsgruppen die entsprechenden Rechte zu erteilen.
okay. Irgendwie hatte ich echt ein brett vorm Kopf... so rum ergibt das natürlich Sinn. Vielen Dank für eure Denkanstöße
