Anzahl der Berechtigungen pro Ordner
Hallo zusammen,
ich diskutiere gerade mit einem Kollegen und brauche eine weitere "Meinung.
Wir haben aktuell noch einen Windows Server 2012R2 als Fileserver (hängt in einer Domäne).
Dort haben wir Ordner, die wir mit neuen Berechtigungen neu strukturieren wollen.
Jetzt sagt mein Kollege, dass zu viele Gruppennamen unter [Sicherheit] in den Eigenschaften des Ordners nicht von Microsoft unterstützt wird. Gemeint sind ca. 10-20stk. Je nach Ordner.
Hat er damit recht? Wird es da irgendwo Probleme geben?
Ich hoffe, dass ich das verständlich schildern konnte...
Hat da jemand einen Tipp bzw. kann da was zu sagen/schreiben?
Gruß
Michael
ich diskutiere gerade mit einem Kollegen und brauche eine weitere "Meinung.
Wir haben aktuell noch einen Windows Server 2012R2 als Fileserver (hängt in einer Domäne).
Dort haben wir Ordner, die wir mit neuen Berechtigungen neu strukturieren wollen.
Jetzt sagt mein Kollege, dass zu viele Gruppennamen unter [Sicherheit] in den Eigenschaften des Ordners nicht von Microsoft unterstützt wird. Gemeint sind ca. 10-20stk. Je nach Ordner.
Hat er damit recht? Wird es da irgendwo Probleme geben?
Ich hoffe, dass ich das verständlich schildern konnte...
Hat da jemand einen Tipp bzw. kann da was zu sagen/schreiben?
Gruß
Michael
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4723308050
Url: https://administrator.de/forum/anzahl-der-berechtigungen-pro-ordner-4723308050.html
Ausgedruckt am: 22.12.2024 um 12:12 Uhr
7 Kommentare
Neuester Kommentar
https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-se ...
64 kilobytes (KB), or approximately 1,820 ACEs.
Gemeint sind ca. 10-20stk. Je nach Ordner.
Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung
Meint er Stück oder die Länge?
$set_iacl_scan = "icacls `"$scan_path`" /grant $username`:(OI)(CI)F /T"
cmd /c $set_iacl_scan
$username = svc_xxx_scantofolder
JA
$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.
Moin,
Gruß,
Dani
Er meint Stück. 20 Sicherheitsgruppen für einen Dateiordner.
Ich würde sagen, eurer Gruppenkonzept ist auf den ersten Blick Krütze. Am Besten immer an das A-G-DL-P-Prinzip halten. Weil die Kunz ist der Betrieb bzw. die Anpassungen der Berechtgiungen bei zukünftigen Anforderungen. Irgendwann tut jeder Gruppe weh... Meiner Meinung nach sollte das kein Problem sein, oder?
ja und nein. Wir kenn die gesamte Umgebung nicht. Irgendwann stößt du vermutlich an die Standardgröße des MaxTokenSize. Dafür gibt es natürlich auch Lösungen: How to use Group Policy to add the MaxTokenSize registry entry to multiple computersGruß,
Dani
Moin,
Wie der Kollege schon sagte: AGDLP-Regel:
Rechte an zwei lokale Gruppen vergeben (DL_RW_Verzeichnis und DL_RO_Verzeichnis) und da kommen dann die globalen Abteilungsgruppen rein. Wie das genau geht, verrät Dir Tante Google. Das wäre dann Best Practice.
hth
Erik
Zitat von @MIST10:
Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.
Wie der Kollege schon sagte: AGDLP-Regel:
Rechte an zwei lokale Gruppen vergeben (DL_RW_Verzeichnis und DL_RO_Verzeichnis) und da kommen dann die globalen Abteilungsgruppen rein. Wie das genau geht, verrät Dir Tante Google. Das wäre dann Best Practice.
hth
Erik