7
Anzahl der Berechtigungen pro Ordner
Hallo zusammen,
ich diskutiere gerade mit einem Kollegen und brauche eine weitere "Meinung.
Wir haben aktuell noch einen Windows Server 2012R2 als Fileserver (hängt in einer Domäne).
Dort haben wir Ordner, die wir mit neuen Berechtigungen neu strukturieren wollen.
Jetzt sagt mein Kollege, dass zu viele Gruppennamen unter [Sicherheit] in den Eigenschaften des Ordners nicht von Microsoft unterstützt wird. Gemeint sind ca. 10-20stk. Je nach Ordner.
Hat er damit recht? Wird es da irgendwo Probleme geben?
Ich hoffe, dass ich das verständlich schildern konnte...
Hat da jemand einen Tipp bzw. kann da was zu sagen/schreiben?
Gruß
Michael
ich diskutiere gerade mit einem Kollegen und brauche eine weitere "Meinung.
Wir haben aktuell noch einen Windows Server 2012R2 als Fileserver (hängt in einer Domäne).
Dort haben wir Ordner, die wir mit neuen Berechtigungen neu strukturieren wollen.
Jetzt sagt mein Kollege, dass zu viele Gruppennamen unter [Sicherheit] in den Eigenschaften des Ordners nicht von Microsoft unterstützt wird. Gemeint sind ca. 10-20stk. Je nach Ordner.
Hat er damit recht? Wird es da irgendwo Probleme geben?
Ich hoffe, dass ich das verständlich schildern konnte...
Hat da jemand einen Tipp bzw. kann da was zu sagen/schreiben?
Gruß
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4723308050
Url: https://administrator.de/contentid/4723308050
Printed on: April 19, 2024 at 21:04 o'clock
7 Comments
Latest comment
https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-se ...
64 kilobytes (KB), or approximately 1,820 ACEs.
Gemeint sind ca. 10-20stk. Je nach Ordner.
Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung
Meint er Stück oder die Länge?
$set_iacl_scan = "icacls `"$scan_path`" /grant $username`:(OI)(CI)F /T"
cmd /c $set_iacl_scan$username = svc_xxx_scantofolder
JA
$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.
Zitat von @Crusher79:
Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung
Meint er Stück oder die Länge?
$username = svc_xxx_scantofolder
JA
$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.
Gemeint sind ca. 10-20stk. Je nach Ordner.
Es sind meine ich 20.... Zeichen. Wenn man die ACL von Command-Line bearbeiten will hakelt es sonst komische Fehler! Weiß ich aus eigeneer Erfahrung
Meint er Stück oder die Länge?
$set_iacl_scan = "icacls `"$scan_path`" /grant $username`:(OI)(CI)F /T"
cmd /c $set_iacl_scan$username = svc_xxx_scantofolder
JA
$username = svc_xxxyz_scantofolder
NEIN da größer 20 Zeichen.
Er meint Stück. 20 Sicherheitsgruppen für einen Dateiordner. In den Sicherheitsgruppen sind dann jeweils 5-30 User eingetragen.
Meiner Meinung nach sollte das kein Problem sein, oder?
Moin,
Gruß,
Dani
Er meint Stück. 20 Sicherheitsgruppen für einen Dateiordner.
Ich würde sagen, eurer Gruppenkonzept ist auf den ersten Blick Krütze. Am Besten immer an das A-G-DL-P-Prinzip halten. Weil die Kunz ist der Betrieb bzw. die Anpassungen der Berechtgiungen bei zukünftigen Anforderungen. Irgendwann tut jeder Gruppe weh... Meiner Meinung nach sollte das kein Problem sein, oder?
ja und nein. Wir kenn die gesamte Umgebung nicht. Irgendwann stößt du vermutlich an die Standardgröße des MaxTokenSize. Dafür gibt es natürlich auch Lösungen: How to use Group Policy to add the MaxTokenSize registry entry to multiple computersGruß,
Dani
ok, danke. ich schaue mir das mal an.
Hi,
ich habe hier mal ein kleines Beispeil gemacht
Ordner: 001, 002, 003
Abteilung: A, B, C
Bereich (innerhalb der Abteilung): jeweils 1 und 2 (1= Meisterbüro , 2= Ausbildunswerkstatt)
Die Gruppen habe ich so erstellt:
A_1, A_2, B_1, B_2, C_1, C_2
für Ordner 001 habe ich die Berechtigungen so eingestellt: (RW=readwrite , R=readonly)
A_1 = RW , A_2 = R , C_1 = RW , C_2 = R
Das Problem ist, dass man nicht pauschal sagen kann, dass die Ausbildungswerkstatt der jeweiligen Abteilung nur R hat. Sonst würde ich die alle in eine Gruppe packen.
Wir brauchen die Flexibilität, dass jede Gruppe mal RW oder R sein könnte.
Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.
Gruß
ich habe hier mal ein kleines Beispeil gemacht
Ordner: 001, 002, 003
Abteilung: A, B, C
Bereich (innerhalb der Abteilung): jeweils 1 und 2 (1= Meisterbüro , 2= Ausbildunswerkstatt)
Die Gruppen habe ich so erstellt:
A_1, A_2, B_1, B_2, C_1, C_2
für Ordner 001 habe ich die Berechtigungen so eingestellt: (RW=readwrite , R=readonly)
A_1 = RW , A_2 = R , C_1 = RW , C_2 = R
Das Problem ist, dass man nicht pauschal sagen kann, dass die Ausbildungswerkstatt der jeweiligen Abteilung nur R hat. Sonst würde ich die alle in eine Gruppe packen.
Wir brauchen die Flexibilität, dass jede Gruppe mal RW oder R sein könnte.
Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.
Gruß
Moin,
Wie der Kollege schon sagte: AGDLP-Regel:
Rechte an zwei lokale Gruppen vergeben (DL_RW_Verzeichnis und DL_RO_Verzeichnis) und da kommen dann die globalen Abteilungsgruppen rein. Wie das genau geht, verrät Dir Tante Google. Das wäre dann Best Practice.
hth
Erik
Zitat von @MIST10:
Wie würde man sinnvoll die Gruppen definieren? Mir fällt da keine andere Lösung ein.
Wie der Kollege schon sagte: AGDLP-Regel:
Rechte an zwei lokale Gruppen vergeben (DL_RW_Verzeichnis und DL_RO_Verzeichnis) und da kommen dann die globalen Abteilungsgruppen rein. Wie das genau geht, verrät Dir Tante Google. Das wäre dann Best Practice.
hth
Erik
