martinl
Goto Top

AGDLP richtig umsetzen ! Kann man es so machen ?

Hallo liebe Admin Gemeinde,

wollte mich nun doch mal mit dem AGDLP-Prinzip auseinandersetzen. Da wir sehr klein sind ging es bisher so, aber irgendwie wird es mir trotz 6 Mitarbeitern langsam unübersichtlich wer welche Berechtigungen auf den Ordner hat usw. Da nun auch noch Datev Ihre Nutzungskontrolle umgestellt hat und die Berechtigungen jetzt aus dem Ad holt wollte ich nicht wieder mit einzelnen Benutzern arbeiten sondern nun anfangen mit Gruppen.

Ich wollte mal kurz vorstellen wie ich mir das gedacht hab bzw. zuerst darstellen wie unsere Struktur ist:

struktur



Folgende Globale Gruppen wollte ich jetzt anlegen:

GG-Geschäftsführer
GG-Arbeitsschutz
GG-Auftragsverwaltung
GG-Buchhaltung
GG-Datenschutzbeauftragter
GG-Dokumentenscanner
GG-Einkauf
GG-IT
GG-Kamerabilder
GG-Personal
GG-Produktion
GG-Schweißaufsicht
GG-Sekretariat
GG-Diverses
GG-Praktikanten


Folgende domänenlokale Gruppen wollte ich jetzt anlegen:


DL_Geschäftsführer_CHANGE

DL_Arbeitsschutz_READ
DL_Arbeitsschutz_CHANGE

DL_Auftragsverwaltung_READ
DL_Auftragsverwaltung_CHANGE

usw.... Ich würde für jede Globale Gruppe eine domänenlokale anlegen mit "READ" sowie "CHANGE". oder ist das unsinnig ?

Der Übergeordnete Ordner "xxx GmbH" welche Berechtigung muss der erhalten das wenigstens alle in diesen grundsätzlich schauen können ? "Authentifizierte Benutzer" und diese mit Vollzugriff ?

Die untergeordneten Ordner dann jeweils mit den domänenlokalen verknüfen richtig ?

Soweit erstmal, es kommen bestimmt noch weitere Fragen auf. ich danke euch schonmal im Vorraus für eure Hilfe.

Content-Key: 381267

Url: https://administrator.de/contentid/381267

Printed on: July 18, 2024 at 17:07 o'clock

Member: emeriks
emeriks Jul 25, 2018 updated at 11:14:14 (UTC)
Goto Top
Hi,
ich habe es früher immer so versucht zu leeren:

Die Mitarbeiterrollen werden allein aus Sicht der Mitarbeiter und ihrer Aufgaben geschaffen.
Die Berechtigungsgruppen allein aus Sicht der Ressourcen, für welche diesen Gruppen Berechtigungen erteilt werden.

Mitarbeiterrolle --> Globale Gruppe
Berechtigungsgruppe --> Domänenlokale Gruppe (oder Computerlokale Gruppe -- DL ist bloß einfach zu verwalten, weil nur ein Zugriffspunkt)

Wenn es also z.B. für Ordner "Arbeitsschutz" einen Bedarf gibt, an verschiedene Mitarbeiterrollen verschiedene Zugriffsberechtigungen zu erteilen, dann eben für jede Art Zugriffsberechtigung eine Berechtigungsgrupe erstellen - z.B. "xxx-Lesen", "xxx-Ändern". Wenn es keinen Bedarf gibt, z.B. für Ordner "Austausch", wo alle alles ändern dürfen sollen, dann eben nur eine Berechtigungsgruppe für diesen Ordner.

Bei den Mitarbeiterrollen halte ich es so:
Statt z.B. zwei Rollen "Buchhaltung" und "Buchhaltung-Abteilungsleiter", und die "einfachen" Buchhaltungsmitarbeiter in "Buchhaltung" und den Abteilungsleiter/in und dessen Sekretär/in in "Buchhaltung-Abteilungsleiter", besser alle in "Buchhaltung" und den Abteilungsleiter/in und dessen Sekretär/in zusätzlich in "Buchhaltung-Abteilungsleiter". Also möglichst große Rollen und "Extra-Würste" über kleine "Schnittmengen"-Rollen.

Von daher würde ich noch mitgehen und die Rolle "GG-Kamerabilder" so verstehen, dass da Mitarbeiter reinkommen, welche zusätzlich zu ihren "normalen" Aufgaben auf die Kamerabilder zugreifen dürfen.

Aber die Rolle "GG-Diverses" suggeriert mir, dass Du diese nur erstellt hast, weil es einen entsprechenden Ordner gibt. Hier wäre das dann nach meiner o.g. Ausführung der "falsche Blickwinkel". Wenn Buchaltungsmitabreiter dort z.B. lesen dürfen, dann eben die Rolle "Buchhaltung" selbst in die enrtsprechende berechtigungsgruppe verschachteln.

E.

Tipp:
Beim Testen daran denken, dass geänderte Gruppenmitgliedschaften erst nach einer Neuanmeldung gelten. Oder man führt in der angemeldeten Benutzersitzung "klist purge" aus.
Member: erikro
erikro Jul 25, 2018 at 11:41:09 (UTC)
Goto Top
Moin,

Zitat von @emeriks:
Bei den Mitarbeiterrollen halte ich es so:
Statt z.B. zwei Rollen "Buchhaltung" und "Buchhaltung-Abteilungsleiter", und die "einfachen" Buchhaltungsmitarbeiter in "Buchhaltung" und den Abteilungsleiter/in und dessen Sekretär/in in "Buchhaltung-Abteilungsleiter", besser alle in "Buchhaltung" und den Abteilungsleiter/in und dessen Sekretär/in zusätzlich in "Buchhaltung-Abteilungsleiter". Also möglichst große Rollen und "Extra-Würste" über kleine "Schnittmengen"-Rollen.

Das mache ich so:

g_Buchhaltung_abteilungsleitung und g_ Buchhaltung

Da alle aus g_buchhaltung_abteilungsleitung auch alle Rechte aus g_Buchhaltung bekommen sollen, wird g_buchhaltung_abteilungsleitung Mitglied von g_buchhaltung. Und schon sind die aus der Abteilungsleitung wieder nur in einer Gruppe. Das sollte m. E. das Ziel der Gruppenverwaltung sein, dass man durch geschickte Verschachtelung der Gruppen erreicht, dass jeder User nur in genau einer Gruppe ist (außer natürlich den Standardgruppen, die er sowieso hat).

Liebe Grüße

Erik