jumpstylerpaf
Goto Top

Berechtigungen für Gruppen und Benutzer vergeben

Moin moin!

Wir versuchen in der Firma gerade,die Berechtigungen für Netzwerkordner komplett zu überarbeiten.
Nur stellen sich da uns diverse Probleme in den Weg.

Problem 1:
Ich gebe an,dass Benutzer XY für Laufwerk G: (+ Unterordner und Dateien) nur Lesezugriff erhält,aber für G:\Ordner1\ (+Unterordner und Dateien) Vollzugriff.
Vererbung wird deaktiviert, jedoch bekomme ich entweder Ergebnis A:
"Vollzugriff auf das komplette Laufwerk" oder Ergebnis B:
"G:\Ordner1\ hat auch nur Lesezugriff"

Problem 2:
Folgende Situation:
Auf Laufwerk G: soll die Gruppe AB zugreifen können. Jedoch auf G: direkt weder Ordner noch Dateien erstellen können.
Weiter gibt es diverse Ordner,die von einigen Benutzer aus Gruppe AB nicht geöffnet werden dürfen...kann ich da Benutzerrechte extrig vergeben,oder muss ich für alle Benutzer aus AB die Rechte vergeben ohne ein Gruppenrecht?
Denn wenn ich so überleg,gibt es 2 Möglichkeiten:
- Durch das extrige Benutzerrecht,steht dieser über dem Gruppenrecht
- Die Grupe steht in der Hierachie weiter oben,so also auch die Rechte und Freigaben

Klingt beides logisch und irgendwie handelt unser W2k3 nach dem Prinzip "ein bisschen von beidem" o.O

Content-ID: 113887

Url: https://administrator.de/contentid/113887

Ausgedruckt am: 17.12.2024 um 03:12 Uhr

66027
66027 15.04.2009, aktualisiert am 18.10.2012 um 18:37:59 Uhr
Goto Top
Hi,

guck mal hier, mein dritter Kommentar in diesem Beitrag: Ordner löschen verhindern
Freigabeberechtigungen beachten!
60730
60730 15.04.2009 um 11:32:19 Uhr
Goto Top
Servus,

nimm dir mal:

  • einen gaaanz großen Topf Kaffe
  • einen Stift
  • viele Blätter Papier

... und dann gehst du irgendwohin, wo kein Telefon ist.

Du willst alles "Neu" machen - gut - dann richtig face-wink

Vergebe niemals nie einem Benutzter Rechte auf "irgendwas" - sondern immer einer Gruppe mit aussagekräftigem Namen.
Und wenn (erstmal) nur einer in der Gruppe ist - egal - AGDLP - ist das Stichwort.
Sonst suchst du dir einen Wolf. (Aber nicht, wenn du nach AGDLP suchst) face-wink - mach das mal

Durch das extrige Benutzerrecht,steht dieser über dem Gruppenrecht
Ähh wie meinen ? - oder verstehts du nun, was ich mit "gruppen" meine - du verzettelst dich ruckzuck, wenn jeder und alles irgendwo "sonderrechte" bekommt.


Gruß
jadefalke
jadefalke 15.04.2009 um 11:38:33 Uhr
Goto Top
Wenn ihr die Berechtigung überarbeitet, dann solltet ihr euch auch Gedanken machen ob ihr nicht die Ordnerstrucktur - Freigaben überarbeitet.

Denn es ist so, sind die Freigaben sauber vergeben - dabei denke ich daran die Freigaben nach Themen, Abteilungen oder Arbeitsbereicht zu sortieren (oder eben danach was am sinnvolsten ist, und was man braucht) - ist das mit der Berechtigung nicht mehr so problematisch.

Sauber sortierte Freigaben, ergeben auch saubere eindeutige Organisationseinheiten, die wiederum eindeutige Berechtigungen möglich machen.

Generell würde ich verschachtelte Berechtigungen auf einer Freigabe vermeiden, denn je mehr es werden um so schneller verliert man den Überblick.
Genauso wenn irgendwie möglich Verbote vermeiden.

So wie du es da oben beschreibst, sehe ich die Gefahr dass ihr euch in verschachtelten Benutzerrechte verrennt.
Je einfacher ihr es halten mit den Berechtigungen, um so eher werdet ihr auch noch in einem 1/2 Jahr wissen was ihr da gemacht habt.

PS: Ich schreibe zu langsam^^
JumpstylerPAF
JumpstylerPAF 15.04.2009 um 11:58:57 Uhr
Goto Top
Ja die sortierten Freigaben sind ja mit den Gruppen verbunden.

Als Kurzüberblick:
Es wird/soll 4 Gruppen geben (3 Firmen + Praktikanten).

1 Firma + die Praktikanten bekommen nur Zugriff auf ihr Laufwerk.
2. Firma im Grunde auch,jedoch ein Benutzer bekommt Zugriff auf LW der 3. Firma (was ja an sich nicht schwer ist)
Benutzer der 3. Firma bekommen Zugriff auf 2 Ordner der Firma 1 und 2 (das selbe Verfahren wie gerade eben schonmal?!). Nur gibt es eben innerhalb der 3. Firma Dokumente/Ordner,die nicht von allen Benutzern gelesen/geöffnet werden sollen.
Und da liegt eben mein Problem...ich als Laie hätte gesagt "Firma 3 Vollzugriff auf Laufwerk G:" und "Benutzer XX kein Zugriff auf Ordner G:\ZZ". Sofern das in der richtigen Reihenfolge eingegeben wird -damit es sich nicht mit der Vererbung von G: beisst- sollte es doch klappen?!


btw:
Ist es eigentlich möglich,dass ich nur Ordner,auf die ich Zugriff hab,anzeigen lassen kann?
Sprich ich hab auf Laufwerk G: nur Zugriff auf "Schriftwechsel" und "Volagen" und eben genau diese beiden wären sichtbar.

@timobeil:
Damit meinte ich,dass eine Definition eines einzelnen Benutzers sozusagen "zur Ausnahme wird".
Sprich Gruppe XY hat Leserecht,aber da Benutzer YX eine separate Rechtvergabe hat ,zählt dies für ihn nicht.
jadefalke
jadefalke 15.04.2009 um 12:38:41 Uhr
Goto Top
mach doch einfach für Firma 3, 2 Freigaben.

Warum gibs du dem Ordner G:\ZZ nicht eine eigene Freigabe?
Somit kannst du dieser Freigabe die Gruppe zuweisen die eben draufschauen kann.

Natürlich geht es auch ohne 2 Freigaben.
Du solltest aber trotzdem mit Gruppen arbeiten und nicht mit einzelnen User.

Gruppe Eins = darf auf LW G: vollzugriff
Gruppe Zwei = darf auf LW G: vollzugriff
Gruppe Zwei = Lesen auf LW G:\ZZ verweigern

Und schon können alle User in Gruppe 2 nicht mehr in ZZ und Unterordner von ZZ reinschauen.
Aber wie gesagt "verweigern" sollte man meiden, wenn es auch anders geht.
Man muss auch nich mal zwei Gruppen für den vollzugriff haben, nur eine Zweite Gruppe fürs "verweigern"
Aber so wäre es übersichtlicher.

Ich würde es aber mit 2 Freigaben machen. Somit kannst du das LW das einige nicht sehen sollen, erst gar nicht mounten.
JumpstylerPAF
JumpstylerPAF 15.04.2009 um 13:20:30 Uhr
Goto Top
Mit LW wäre es kein Problem,aber es sind ja Ordner innerhalb des LWs.
Und für einen Benutzer ne neue Gruppe anlegen halt ich für etwas überflüssig,aber wenns nicht anders geht....

thx schonmal...mal sehen,was ich und mein Kollege im Laufe des Tages so erreichen.


edit:
Also irgendwie verwirrt mich die ganze Thematik immer mehr.
Haben jetzt nen Testuser erstellt und dem eine Testgruppe zugeordnet.
Freigabe ist "Jeder" auf Lesen und "Testgruppe" auf Vollzugriff. Bei Sicherheit das gleiche und trotzdem behauptet der Client-PC,dass der Benutzer nicht über die Rechte verfügt o.O


edit2:
Also wir haben uns jetzt vorerst drauf geeinigt,dass wir zwar die Gruppen machen,aber grundsätzlich alles freigeben.
Grund:
Es werden ja sowieso nur die benötigten LW gemountet. So können wirs leichter einrichten,dass 2 Benutzer in der gleichen Gruppe unterschiedliche LW zur Verfügung haben.
Klar kann man dann immer noch alles über die Netzwerkumgebung erreichen,aber daran traut sich bei uns keiner bzw bei unserer derzeitigen Serverstruktur blickt sowieso keiner durch,der nicht mindestens 3-4mal die Woche damit zu tun hat *lach*

Bleibt nur noch das Problem,dass einzelne Ordner gesperrt werden,aber soweit meine Spielereien mit dem Testuser ergeben haben,funktioniert das super mit "Verweigern" ,auch wenn jadefalke davon abgeraten hat. Somit umgeh ich das nervige "zusätzliche Gruppen erstellen" und Hierachieproblem,dass wir noch haben. Die Praxis wird ja zeigen,ob diese Entscheidung fatal ist oder nicht face-big-smile

Danke an euch,denn sonst würd ich wohl immer noch an den Details festhängen und nie fertig werden ^^

Anm. (vllt für die,die es noch nicht wissen und auch interessiert):
Ordner verstecken kann man bei Win Server 2k3 ab SP1 mit "Acces-based Enumeration". Anscheinend n kleines Tool, mit dem man einstellen kann,dass Ordner,für die der Benutzer keinen Zugriff hat,ausgeblendet werden. [Microsoft.com - ABE]
jadefalke
jadefalke 15.04.2009 um 17:39:10 Uhr
Goto Top
Ich frage mal ganz einfach - wie erstellst du den eine Freigabe ?

Wenn ich einen Ordner freigeben möchte, dann gebe ich unter Eigenschaften/Freigabe, den Ordner frei.
Trage einen Freigabenamen ein und gehe auf Berechtigung wo ich dem "jeder" = vollzugriff
Dann auf den Reiter Sicherheit
Hier habe ich die Möglichkeit meine OU´s (also die Gruppen die ich im Aktive Directory angelegt habe) in die Berechtigung reinzunehmen oder rauszunehmen - wie es mir halt passt.
Unter anderem stehen hier "Administrator = vollzugriff", "Domänen User = lesen" "jeder = lesen"
und wenn man möchte nimmt man die Gruppe A = Ausführen, Schreiben und Gruppe B = Lesen mit auf.

Also in Kurzform:
Reiter Freigabe : Jeder = vollzugriff (und sonst nix)
Reiter Sicherheit: Administrator= vollzugriff, Gruppe A = Ausführen,Schreibe (reicht meistens aus) Gruppe B =Lesen (Besitzer= Administrator)
Vererbung auf die gewünschten Ordner entfernen.
Reiter Sicherheit auf den gewünschten Ordner: Gruppe B entfernen (schon kann Gruppe B nimmer drauf zugreifen, und man hat kein einziges mal verweigern genutzt)

ob du nur für einen User eine eigene Gruppe erstellen sollst, bliebt dir überlassen.
Bedenke jedoch dass vielleicht in ca 2 Monate, jemand zu dir sagt er möchte dass auch User B,C und D, dasselbe können sollen wie User A für den du gerade (vorausschauenderweise) eine eigene Gruppe angelegt hast.
Dann würdest du einfach User B,C und D in diese Gruppe aufnehmen und Feierabend machen. Funktioniert.
Und brachst dir dann keinen Kopf mehr machen " wie war das nochmal damals als ich diesem User A das erlaubt / verweigert habe ?????? "

Naja vieleicht setzt du dich doch bissle mehr mit Berechtigunen auseinander.
Wenn man´s verstanden hat, sind auch verschachtelte Berechtigungen und Vererbung nicht mehr so schwer, dennoch bin ich der Meinung man sollte sie möglichst vermeiden.

PS: zum Thema Verweigern
Ich rate davon ab es einzusetzen wenn das Thema Berechtigungen nicht sitzt. Verweigern ist sehr mächtig. Und Verweigern und Verschachteln, da muss man gut den Überblick behalten. Das ist der einzige Grund warum ich davon abrate. Ich sagte nicht dass es nicht funktioniert.
JumpstylerPAF
JumpstylerPAF 16.04.2009 um 09:00:01 Uhr
Goto Top
Erstelle genauso,wie du beschrieben hast.
Einzigster Unterschied (mein Kollege hat darauf bestanden,da er irgendwo gelesen hat,dass man "Jeder" ersetzen soll) ist,dass wir anstatt "Jeder" "Domänen-Benutzer" in der Freigabe stehen haben.

Dass es nicht funktioniert,hab ich auch nie behauptet, sondern falls ein Problem auftritt,dass das ein klarer Fall von "selbst schuld" ist. Bisher gabs aber noch keine Probleme.


Aber in dem Punkt "lieber ne neue Gruppe erstellen anstatt Benutzer zu verwalten" bin ich optimistisch ^^
Wir haben sowieso nur noch 1 PC frei und der ist für die Praktikanten reserviert,sprich soviele neue Leute werden die nächste Zeit wohl nicht dazukommen.
jadefalke
jadefalke 16.04.2009 um 11:57:03 Uhr
Goto Top
Zitat von @JumpstylerPAF:
Erstelle genauso,wie du beschrieben hast.
Einzigster Unterschied (mein Kollege hat darauf bestanden,da er
irgendwo gelesen hat,dass man "Jeder" ersetzen soll)
ist,dass wir anstatt "Jeder"
"Domänen-Benutzer" in der Freigabe stehen haben.

Das ist richtig. Unter der NTFS Berechtigung sollte "Jeder" raus.
Unter Freigabe sollte aber "jeder"=vollzugriff haben, denn die tatsächliche Berechtigung wird auf NTFS gesetzt.


Aber in dem Punkt "lieber ne neue Gruppe erstellen anstatt Benutzer zu verwalten" bin ich optimistisch ^^
Wir haben sowieso nur noch 1 PC frei und der ist für die Praktikanten reserviert,sprich soviele neue Leute werden die nächste Zeit wohl nicht dazukommen.

Der arme Praktikant - der kriegt auch alles verboten ! face-smile
JumpstylerPAF
JumpstylerPAF 16.04.2009 um 13:19:09 Uhr
Goto Top
der kriegt nix verboten ^^
haben dene soger n extriges LW eingerichtet....gut die haben zum sonstigen Netzwerk keinerlei Zugriff,aber deswegen kriegen sie ja keien Verbote...können sowieso nichts "Geheimes" ansehe *fg*