mist10
Goto Top

Anzahl der Berechtigungen pro Ordner

Hallo zusammen,

ich diskutiere gerade mit einem Kollegen und brauche eine weitere "Meinung.

Wir haben aktuell noch einen Windows Server 2012R2 als Fileserver (hängt in einer Domäne).
Dort haben wir Ordner, die wir mit neuen Berechtigungen neu strukturieren wollen.

Jetzt sagt mein Kollege, dass zu viele Gruppennamen unter [Sicherheit] in den Eigenschaften des Ordners nicht von Microsoft unterstützt wird. Gemeint sind ca. 10-20stk. Je nach Ordner.
Hat er damit recht? Wird es da irgendwo Probleme geben?

Ich hoffe, dass ich das verständlich schildern konnte...

Hat da jemand einen Tipp bzw. kann da was zu sagen/schreiben?

Gruß
Michael

Content-ID: 4723308050

Url: https://administrator.de/forum/anzahl-der-berechtigungen-pro-ordner-4723308050.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Crusher79
Crusher79 22.11.2022 um 17:21:35 Uhr
Goto Top
Crusher79
Crusher79 22.11.2022 aktualisiert um 17:29:48 Uhr
Goto Top
Gemeint sind ca. 10-20stk. Je nach Ordner.

Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung face-wink

Meint er Stück oder die Länge?

$set_iacl_scan = "icacls `"$scan_path`" /grant $username`:(OI)(CI)F /T"  
cmd /c $set_iacl_scan

$username = svc_xxx_scantofolder
JA


$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.
MIST10
MIST10 22.11.2022 aktualisiert um 18:09:27 Uhr
Goto Top
Zitat von @Crusher79:

Gemeint sind ca. 10-20stk. Je nach Ordner.

Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung face-wink

Meint er Stück oder die Länge?

$set_iacl_scan = "icacls `"$scan_path`" /grant $username`:(OI)(CI)F /T"  
cmd /c $set_iacl_scan

$username = svc_xxx_scantofolder
JA


$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.


Er meint Stück. 20 Sicherheitsgruppen für einen Dateiordner. In den Sicherheitsgruppen sind dann jeweils 5-30 User eingetragen.

Meiner Meinung nach sollte das kein Problem sein, oder?
Dani
Lösung Dani 22.11.2022 um 18:38:17 Uhr
Goto Top
Moin,
Er meint Stück. 20 Sicherheitsgruppen für einen Dateiordner.
Ich würde sagen, eurer Gruppenkonzept ist auf den ersten Blick Krütze. Am Besten immer an das A-G-DL-P-Prinzip halten. Weil die Kunz ist der Betrieb bzw. die Anpassungen der Berechtgiungen bei zukünftigen Anforderungen. Irgendwann tut jeder Gruppe weh...

Meiner Meinung nach sollte das kein Problem sein, oder?
ja und nein. Wir kenn die gesamte Umgebung nicht. Irgendwann stößt du vermutlich an die Standardgröße des MaxTokenSize. Dafür gibt es natürlich auch Lösungen: How to use Group Policy to add the MaxTokenSize registry entry to multiple computers


Gruß,
Dani
MIST10
MIST10 22.11.2022 um 20:44:54 Uhr
Goto Top
ok, danke. ich schaue mir das mal an.
MIST10
MIST10 23.11.2022 um 10:18:03 Uhr
Goto Top
Hi,
ich habe hier mal ein kleines Beispeil gemacht
test

Ordner: 001, 002, 003
Abteilung: A, B, C
Bereich (innerhalb der Abteilung): jeweils 1 und 2 (1= Meisterbüro , 2= Ausbildunswerkstatt)

Die Gruppen habe ich so erstellt:
A_1, A_2, B_1, B_2, C_1, C_2

für Ordner 001 habe ich die Berechtigungen so eingestellt: (RW=readwrite , R=readonly)
A_1 = RW , A_2 = R , C_1 = RW , C_2 = R

Das Problem ist, dass man nicht pauschal sagen kann, dass die Ausbildungswerkstatt der jeweiligen Abteilung nur R hat. Sonst würde ich die alle in eine Gruppe packen.
Wir brauchen die Flexibilität, dass jede Gruppe mal RW oder R sein könnte.

Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.

Gruß
erikro
Lösung erikro 23.11.2022 aktualisiert um 17:45:39 Uhr
Goto Top
Moin,

Zitat von @MIST10:

Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.

Wie der Kollege schon sagte: AGDLP-Regel:

Rechte an zwei lokale Gruppen vergeben (DL_RW_Verzeichnis und DL_RO_Verzeichnis) und da kommen dann die globalen Abteilungsgruppen rein. Wie das genau geht, verrät Dir Tante Google. Das wäre dann Best Practice.

hth

Erik