speckles
Goto Top

AD Gruppen: Zugriff nur auf Unterordner einrichten

Hallo Community,

ich arbeite derzeit an einem neuen Benutzerrechtekonzept für unsere Firma. Im Moment werden Rechte auf Freigegebene Ordner direkt auf den Benutzer bezogen und nicht auf Gruppen, was sicherlich um einiges eleganter wäre. Dies versuche ich jetzt umzusetzen, jedoch hänge ich an einer Stelle und weiß einfach nicht weiter.

Folgendes Szenario:
Gruppen: IT, Marketing, Controlling, Sales

Auf dem Fileserver lege ich die oben genannten Ordner (IT, Marke...,..) an. Jetzt schmeiße ich den Benutzer "Jeder" heraus. Damit sollte keiner (außer die Domänenadmins) Zugriff auf die Ordner haben. Jetzt sage ich in den Eigenschaften:

Freigabe: Jeder = Vollzugriff
Sicherheit (NTFS) = Name der Gruppe (z.B. Ordner Marketing = Gruppe Marketing)

Soweit so gut. Was ist aber, wenn ein Benutzer aus dem Controlling Zugriff auf einen Ordner im Marketing Ordner benötigt?
Versuche es mal darzustellen:

Ordner:
- Marketing
+Werbung1
+Werbung2
- Controlling
- Sales
- IT

Ist es sinnvoll jetzt eine Gruppe einzurichten, denen ich für diesen einen Benutzer Zugriff auf "Werbung2" gebe? Wird der Zugriff für den User aus dem Controlling auf den Unterordner klappen, obwohl er nicht in Marketing "Hauptordner" lesen darf?

Danke und Gruß,
speckles

Content-ID: 227375

Url: https://administrator.de/forum/ad-gruppen-zugriff-nur-auf-unterordner-einrichten-227375.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

Ausserwoeger
Ausserwoeger 22.01.2014 aktualisiert um 11:54:04 Uhr
Goto Top
Hi

Also ich mach das wie folgt:

Ich lege eine Globale oder Universale Gruppe Marketing und Sales an.
Dann lege ich eine Domainlokale gruppe für die Freigabe an die hiesst wie die freigane und welche rechte vergeben wurden zb:

Freigabe \\Server\Marketing Vollzugriff.

Dann gebe ich die Globale gruppe in die DL gruppe für die Freigabe.

Wenn der Fall eintritt das nur 1 user aus der Abteilung Sales zugriff benötigt gebe ich diesen einen Benutzer in die Domainlokale gruppe für die Freigabe.

Wenn ein andere IT Mitarbeiter die rechte nicht kennt schaut er ohnehin zuerst auf der freigabe nach und sieht da die Domainlokale gruppe und kann so alles einfach nachvollziehen.

PS: So bekommt man es auch in MS Schulungen erzählt bzw. in der Berufschule für IT Techniker erklärt.

Das ganze nennt sich http://en.wikipedia.org/wiki/AGDLP

LG
ITvortex
ITvortex 22.01.2014 um 11:52:36 Uhr
Goto Top
Hallo speckles,

wir haben folgendes Konzept: Für jeden Ordner (Marketing, IT, usw.), habe ich eine Ressourcen Gruppe angelegt. In der Ressourcengruppe befindet sich jeweils eine Gruppe für den Standort (da bei uns von mehreren Standorten aus zugegriffen werden muss). Dieses Konzept könntest du auf die verschiedenen Sparten anwenden?

lg

ITvortex
XenClient
XenClient 22.01.2014 um 13:58:06 Uhr
Goto Top
Ich würde es an deiner Stelle so machen:

Freigabe Sales
Berechtigungen für die Gruppe Sales (alle "Sales" Benutzer)

Einzelne Leute würde ich so hinzufügen. Extra dafür noch eine Gruppe aufzumachen wird auf dauer zu kompliziert für neue Leute.
Wenn es allerdings mehrere Leute sind, dann würde ich wieder anfangen in Gruppen zu fassen, ...

Gruß XenClient
Rolf14
Rolf14 22.01.2014 um 16:27:39 Uhr
Goto Top
Ich kann die Aussage von Ausserwoeger nur unterschreiben. Genau so wird's gemacht und genau so bleibt es auch noch nach Jahren überschaubar.

Alle anderen Lösungen schreien danach den Admin irgendwann zu verwirren und er muss jede einzelne Berechtigung durch klicken. Tu dir und nachfolgenden einen gefallen und lege die Struktur gleich so klar und übersichtlich an.

LG
Xaero1982
Xaero1982 22.01.2014 aktualisiert um 16:56:32 Uhr
Goto Top
Bisher sehe ich irgendwie keine Lösung des Problems face-smile

A,B,C,D sind Mitarbeiter im Bereich Marketing
E,F,G,H sind Mitarbeiter im Bereich Controlling
etc.
Also haben wir schon mal 2 Gruppen: Marketing und Controlling mit den jeweiligen Nutzern.
Diese Gruppen werden in den Freigaben/NTFS Berechtigungen der jeweiligen ÜBEROrdner: Marketing und Controlling gesetzt.
Nun benötigt E Zugriff auf den Ordner: Marketing\Werbung 2 und nicht etwa auf Marketing, weil dann hat er ja Zugriff auf den ganzen Ordner, also auch auf Werbung 1 - da soll er aber keinen Zugriff haben.

Nach den bisher genannten Lösungen hat er dies aber.

Es geht hier um Berechtigungen auf Unterordner und da ist mir keine andere Lösung bekannt außer: Nutzer hinzufügen in den Ordnerfreigaben und Berechtigungen und nur den direkten Pfad zur Freigabe nutzen. Über den Überodner zum Unterordner wird er dann nicht kommen.
Wenn nun EFGH Zugriff haben sollen auf Werbung 2 kannst du da auch wieder eine Gruppe anlegen.

Gruß
Ausserwoeger
Ausserwoeger 22.01.2014 aktualisiert um 17:00:54 Uhr
Goto Top
Hi

Wieso ist doch das selbe ?? Eine DL gruppe machen mit \\Server\marketing Ordner anzeigen
Dieser gupppe nur ordner anzeigen als berechtigung geben auf marketing. Beim ordner Werbung in marketing die vererbung unterbrechen und eine DL anlegen für den ordner werbung und diesem die gewünschten rechte geben. Die User ABCD in entsprechende gruppen zusammenfassen

Wo ist hier was anders ???

Habe ich oben auch so beschrieben.

LG
Xaero1982
Xaero1982 22.01.2014 um 20:40:21 Uhr
Goto Top
Hi,

hast du leider nicht. Nach deiner Beschreibung oben geht es nur um die übergeordneten Ordner bzw. Hauptordner und nicht um einen Unterordner. Das ist aber eben genau das Problem.

In der Tat sehe ich noch nicht ganz den Vorteil von domänenlokalen Gruppen.

Vielleicht könntest du das etwas klarer erklären, bitte.

Mir stellt sich nämlich auch die Frage.
Ich habe verschiedene Ordner für bestimmte Benutzer.
Diese Ordner liegen auf einer einzelnen Partition. Diese habe ich für alle Domänenbenutzer und Admins freigegeben.
Die einzelnen Ordner haben nur entsprechende Sicherheitseinstellungen.
In diesen wurde die entsprechende Globale Gruppe hinterlegt in welchen die Nutzer sind. Hab ich nun einen neuen Nutzer kommt er in diese Gruppe und gut ists.
Nun ist aber ebenfalls der Fall aufgetreten, dass ein Nutzer einer anderen Gruppe nur Zugriff auf einen Unterordner haben soll.
Wenn ich hier, wie du sagst, für den Ordner die Vererbung unterbreche fliegt erst mal alles raus bzw. füge ich dann den Nutzer hinzu, damit dieser entsprechende Rechte hat - muss ihm aber den exakten Pfad nennen.

So richtig werde ich dann nicht schlau draus - sorry face-smile

Genaues Beispiel:
Server: Laufwerk E:\ -> Freigegeben für Domänenbenutzer und Admins als \\Servername\Daten
Client: Laufwerk als Netzlaufwerk eingebunden G:\ -> \\Servername\Daten

Dort liegen dann die Ordner:
A
B
C
D
usw.

Jeder Ordner hat eine Globale Sicherheitsgruppe in den NTFS Berechtigungen zugeordnet z.b: SG_A, SG_B usw.
Dort sind die Nutzer drin die dort Rechte haben sollen.
Nun benötigt Nutzer X aus Gruppe B Zugriffsrechte auf Ordner A\Unterordner.

Aktuell sehen die Nutzer natürlich auch nur die Ordner auf die sie Berechtigungen haben.
Wenn ich X nun separat den Zugriff auf A\Unterordner gebe muss er auch g:\A\Unterordner eingeben, weil er auf A keinen Zugriff hat.

Gruß
Ausserwoeger
Ausserwoeger 22.01.2014 um 20:57:54 Uhr
Goto Top
Zitat von @Xaero1982:


Nun ist aber ebenfalls der Fall aufgetreten, dass ein Nutzer einer anderen Gruppe nur Zugriff auf einen Unterordner haben soll.
Wenn ich hier, wie du sagst, für den Ordner die Vererbung unterbreche fliegt erst mal alles raus bzw. füge ich dann den
Nutzer hinzu, damit dieser entsprechende Rechte hat - muss ihm aber den exakten Pfad nennen.

Falsch ! Erstens wenn du die Vererbung unterbrichst wirst du gefragt ob du die Sicherheitseinstellungen des Übergeordeten Ordners kopieren willst oder nicht. Somit hast du alle einstellungen und kannst sie nach deinen wünschen abändern.

So richtig werde ich dann nicht schlau draus - sorry face-smile

Wenn du einen Testserver hast könntest du ja einfach einen Test starten.


Genaues Beispiel:
Server: Laufwerk E:\ -> Freigegeben für Domänenbenutzer und Admins als \\Servername\Daten
Client: Laufwerk als Netzlaufwerk eingebunden G:\ -> \\Servername\Daten

Dort liegen dann die Ordner:
A
B
C
D
usw.

Jeder Ordner hat eine Globale Sicherheitsgruppe in den NTFS Berechtigungen zugeordnet z.b: SG_A, SG_B usw.
Dort sind die Nutzer drin die dort Rechte haben sollen.
Nun benötigt Nutzer X aus Gruppe B Zugriffsrechte auf Ordner A\Unterordner.

Aktuell sehen die Nutzer natürlich auch nur die Ordner auf die sie Berechtigungen haben.
Wenn ich X nun separat den Zugriff auf A\Unterordner gebe muss er auch g:\A\Unterordner eingeben, weil er auf A keinen Zugriff
hat.

Gruß

Also du kannst jeder Gruppe beliebige rechte Zuteilen zb. das die mitglieder nur die Ordner auflisten dürfen. Das Würde bedeuten der User in dieser gruppe kann ganz normal zu seinem ordner browsen und in diesen hineingehen wenn er die rechte des auflistens hat. sollte er auf einen Ordner klicken auf dem er keine Rechte hat bekommt er sein zugriff verweigert.

Ordner A hat im AD Folgende Domainlokale gruppen:
Ordner A Vollzugriff
Ordenr A Ordner auflisten
Ordner A nur lesen

Unterordner hat die gleichen gruppen.

Gebe ich nun einen user bei Ordner A in die Gruppe Ordner auflisten kann dieser alle ordner sehen aber in dem Ordner A nichts verändern.
Hat der selbe User in Unterordner rechte in der Gruppe Vollzugriff kann dieser dort alles machen.

Jeder kann bei richtiger einstellung wie gewohnt arbeiten. Durch die gruppen ist es trotz vieler Ordner und Rechte bei einem Bennenungkonzept das durchdacht ist auch übersichtlich. DIe Fergabe von rechten Kann durch Gruppierung in Abteilungen oder Aufgabenbereiche schnell gemacht werden und sollte doch einenmal ein User aus Marketing in einem Ordner der Geschäftsleitung etwas zu suchen haben kann man ihm diese Rechte geben indem man ihn in die Entsprechende DL Gruppe aufnimmt.

Besser kann ich das nicht erklären du solltest es ausprobieren und dir selbst dein Konzept bilden.

LG
Xaero1982
Xaero1982 22.01.2014 um 21:04:46 Uhr
Goto Top
Ok das macht schon mal mehr Sinn, aber du schreibst:

Ordner A hat im AD Folgende Domainlokale gruppen:
Ordner A Vollzugriff
Ordner A Ordner auflisten
Ordner A nur lesen

Unterordner hat die gleichen gruppen.

-> d.h.:
Ordner A Vollzugriff
Ordner A Ordner auflisten
Ordner A nur lesen

Tja nun soll X auf den Unterordner "Test" Änderungsrechte haben, also müsste ich ihn in die Gruppe "Ordner A Vollzugriff" stecken. Dann hätte er doch gleichzeitig auch Vollzugriff auf den Übergeordneten Ordner A.
Für jeden Unterordner Gruppen anzulegen kommt nicht in Betracht.

Hier fehlt mir noch die "Verknüpfung". Vielleicht hast du dazu noch einen schlauen Tipp face-smile

Gruß und Dank!
Ausserwoeger
Ausserwoeger 22.01.2014 um 21:16:08 Uhr
Goto Top
Zitat von @Xaero1982:

Ok das macht schon mal mehr Sinn, aber du schreibst:

Ordner A hat im AD Folgende Domainlokale gruppen:
Ordner A Vollzugriff
Ordner A Ordner auflisten
Ordner A nur lesen

Unterordner hat die gleichen gruppen.

-> d.h.:
Ordner A Vollzugriff
Ordner A Ordner auflisten
Ordner A nur lesen

Tja nun soll X auf den Unterordner "Test" Änderungsrechte haben, also müsste ich ihn in die Gruppe
"Ordner A Vollzugriff" stecken. Dann hätte er doch gleichzeitig auch Vollzugriff auf den Übergeordneten Ordner
A.

Ne musst du nicht du kannst ja auch Für ordner A eine Gruppe anlegen die diese rechte hat. Das war auch nur als beispiel gedacht. Natürlich musst du das Konzept auf deine Firma anpassen.

Für jeden Unterordner Gruppen anzulegen kommt nicht in Betracht.

Das glaube ich auch nicht ich kenne keine Firma die 1000 Ordner mit Rechten hat du sollst das ja nur machen bei den Ordner die eine Spezielle berechtigung brauchen.
Angenommen es gibt einen Ordner Marketing dann wird der Normalerweise von der abteilung Marketing benutzt. Wenn es jetzt 1 oder 2 Unterordner gibt auf die jemand noch zugriff haben soll dann sind das 4 oder 5 gruppen mehr. Du musst ja keine Gruppe für den Ordner anlegen wenn sie nicht benötigt wird.

Hier fehlt mir noch die "Verknüpfung". Vielleicht hast du dazu noch einen schlauen Tipp face-smile

Welche Verknüpfung ?

Gruß und Dank!
Xaero1982
Xaero1982 22.01.2014 um 21:40:12 Uhr
Goto Top
Ok, also doch so weit richtig gemacht, außer, dass ich nur globale Gruppen benutzt habe und keine Domänenlokalen. face-smile

Nun, wenn X nun auf einen Unterordner Zugriff haben soll muss er ja für den Hauptordner zumindest Listberechtigungen haben, richtig?

Das heißt ich könnte auch für meinen jeweiligen Hauptordner noch je eine Gruppe anlegen mit Listberechtigungen und dort dann den Nutzer reinschieben, der auf irgendeinen Unterordner Rechte haben soll + die Anpassung des betroffenden Unterordners mit dem entsprechenden Nutzer und die entsprechenden Berechtigungen mit unterbrochener Vererbung, korrekt?

Die "gedankliche Verknüpfung" face-smile

Gruß
Ausserwoeger
Ausserwoeger 23.01.2014 um 16:13:49 Uhr
Goto Top
Hi

Ja alles Korrekt !

LG
Xaero1982
Xaero1982 26.04.2015 um 13:59:59 Uhr
Goto Top
Hi,

noch mal eine Frage dazu.

Eine Nutzerin hat mit der Regelung ein Problem.

Struktur:

-A
*UnterordnerA
*UnterordnerAA1
*UnterordnerAA2
-B
*UnterordnerB
*UnterordnerBB1
-C
*UnterordnerC
*UnterordnerCC1

Benutzer Hans soll nun Zugriff auf Unterordner AA2 bekommen und nur das. Das heißt er soll Unterordner AA1 gar nicht erst sehen können.

Bei Webdav z.b. geht das einfach in dem ich sage: Ordner ohne berechtigungen nicht anzeigen.

Wie kann ich das aber nun direkt über Netzwerkfreigaben intern regeln?

Grüße
Ausserwoeger
Ausserwoeger 27.04.2015 um 09:19:45 Uhr
Goto Top
Hi

Ihm ein Eigenes Laufwerk mit Netuse erstellen zb. Laufwerk Z und ihm keine berechtigungen für die ordner A und AA1 geben.

LG
Xaero1982
Xaero1982 27.04.2015 um 11:10:47 Uhr
Goto Top
Das wird dann bei 20+ freizugebenen Unterordnern eher nicht mehr möglich sein...
Ausserwoeger
Ausserwoeger 27.04.2015 um 17:52:10 Uhr
Goto Top
Hi

Wenn du einen Windows 2008 R2 oder höher hast werden ohnehin nur die ordner angezeigt auf denen du berechtigungen hast.

Also einfach am Hauptordner nur lesen und auf allen anderen keine berechtigung vergeben bis auf den gewüschten ordner.

LG
Xaero1982
Xaero1982 28.04.2015 um 22:53:46 Uhr
Goto Top
Hi,

ja das ist schön und gut, aber wenn ich nun den Hauptordner habe und dann ganz viele Unterordner und in einem dieser Unterordner weitere viele Unterordner und dort soll nur auf einen Zugriff erteilt werden klappt das nicht mehr ohne das mit die Unterordner im ersten Unterordner sieht ... und das soll nicht sein, außer man macht wirklich auf jeden einzelnen Unterordner entsprechend die Berechtigung ohne Vererbung und dann wirds mühselig.

Grüße
Ausserwoeger
Ausserwoeger 29.04.2015 aktualisiert um 09:18:52 Uhr
Goto Top
Hi

Ja das ist richtig. Wenn du aber auf unterordner von unterordnern von unterordnern berechtigungen vergeben musst sollte man sich die Ordnerstrucktur nochmal ansehen und anpassen.

Mann muss ja nur die Dateien die Wichtig sind in einem eigenen Hauptordner zusammenfassen und hier die Berechtigungen schalten.
Mann kann ja auch hier eine untergeordnete ordnerstrucktur erstellen.

Wenn es zb 3 abteilungen gibt. Verwaltung , Geschäftsführung, Produktion und diese unterschiedliche berechtigungen brauchen gibt es bei meinen Kunden 3 Globale Gruppen in denen die Mitarebiter der Abteilungen sind. Diese Guppen sind in Domainenlokalen gruppen die auf den Ordnern berächtigt sind. Die Domain lokalen gruppen heissen dann wie die odner bzw. der Pfad und die berechtigungsstufe.

z.b: Verwaltung (d:\daten\verwaltung) Vollzugriff
Geschäftsführung (d:\daten\gf) Vollzugriff
usw. usw.


In den unterordnern gibt es dann die einzelnen Projekte mit daten

z.b: d:\daten\verwaltung\Projekte\winterhafen1\.......
d:\daten\gf\Projekte\wintehafen1\....

usw.

Berechtigungen solltest du immer auf den ersten ebenen setzen und nicht

d:\daten\projekte\winterhafen\GF
d:\daten\projekte\winterhafen\verwaltung
d:\daten\projekte\bauernhof\GF
d:\daten\projekte\bauernhof\verwaltung

Das kann zwar funktionieren ist aber mega Aufwand.

Das Problem solltest du mit der geschäftsführung besprechen und eine neue Ordnerstruktur ausarbeiten.
Das ist zwar arbeit aber muss so gestaltet werden das eine Rechtevergabe möglich ist.

Info: http://www.fileserver-tools.com/2013/02/agdlp-prinzip-und-das-tokensize ...

Wenn du nach AGDLP suchst findest du tausende einträge mit erklärungen vorgehen usw.

PS: Eine grundlegende Ordnerstruktur und Berechtigungen sollte man immer gut durchdenken und gemeinsam mit der GF für die Firma Ausarbeiten. Abgesehen von der Normalen Ordnerstruktur sollte auch jeder Mitarbeiter einen Privaten Ordner besitzen auf den nur er zugriff hat. Dies ist bei meinen Kunden ein eignes Laufwerk zb. U oder Z oder ein anderer Buchstabe.

PSS: Bei den Userlaufwerken würde ich folgendes machen https://www.simple-talk.com/sysadmin/exchange/implementing-windows-serve ...


LG Andy
Xaero1982
Xaero1982 29.04.2015 um 18:29:19 Uhr
Goto Top
Hi Andy,

danke für die Mühe, aber das funktioniert hier leider nicht.

Wir haben auf dem Server eine komplette HDD freigegeben.

Auf dieser haben dann bestimmte Personen - Dezernatsleider einen Ordner z.B.

H:\MM

In diesem Ordner gibt es dann viele Unterordner. Ein Unterordner ist z.B. "Kunden".
In diesem Ordner Kunden gibt es dann viele viel Unterordner mit den Kundennamen.

MM hat natürlich auf alles Zugriff. Nun soll aber der Hans Müller (HM) Zugriff auf den Unterordner: Beispielkunde haben und von den anderen gar nichts wissen.

Also er benötigt quasi: H:\MM\Kunden\Beispielkunde
Sobald ich ihm nun Leserechte auf MM gebe, kann er alles sehen was sich unter MM verbirgt. Auch wenn ich die Vererbung auf alle Unterornder deaktiviere muss ich sie auf Kunden wieder aktivieren bzw. dort den HM wieder hinzufügen. Und dann die Rechte auf den Ordner Beispielkunde setzen.

An der Ordnerstruktur kann man rein gar nichts ändern und wird es auch nicht. Da kann ich machen was ich will.

Ergo: Megaaufwand!

Einen eigenen Ordner haben sowieso alle, aber das ist dafür nicht gedacht.

Grüße
Ausserwoeger
Ausserwoeger 30.04.2015 um 11:27:41 Uhr
Goto Top
Hi

Na dann Kann ich nur sagen viel spass beim vergeben der Berechtigungen und beim Dokumentieren von denselbigen.

LG Andy
Xaero1982
Xaero1982 30.04.2015 um 11:35:56 Uhr
Goto Top
Hi,

so hab ich mir das gedacht.... Danke.

Grüße