Berechtigungen für Gruppen und Benutzer vergeben
Moin moin!
Wir versuchen in der Firma gerade,die Berechtigungen für Netzwerkordner komplett zu überarbeiten.
Nur stellen sich da uns diverse Probleme in den Weg.
Problem 1:
Ich gebe an,dass Benutzer XY für Laufwerk G: (+ Unterordner und Dateien) nur Lesezugriff erhält,aber für G:\Ordner1\ (+Unterordner und Dateien) Vollzugriff.
Vererbung wird deaktiviert, jedoch bekomme ich entweder Ergebnis A:
"Vollzugriff auf das komplette Laufwerk" oder Ergebnis B:
"G:\Ordner1\ hat auch nur Lesezugriff"
Problem 2:
Folgende Situation:
Auf Laufwerk G: soll die Gruppe AB zugreifen können. Jedoch auf G: direkt weder Ordner noch Dateien erstellen können.
Weiter gibt es diverse Ordner,die von einigen Benutzer aus Gruppe AB nicht geöffnet werden dürfen...kann ich da Benutzerrechte extrig vergeben,oder muss ich für alle Benutzer aus AB die Rechte vergeben ohne ein Gruppenrecht?
Denn wenn ich so überleg,gibt es 2 Möglichkeiten:
- Durch das extrige Benutzerrecht,steht dieser über dem Gruppenrecht
- Die Grupe steht in der Hierachie weiter oben,so also auch die Rechte und Freigaben
Klingt beides logisch und irgendwie handelt unser W2k3 nach dem Prinzip "ein bisschen von beidem" o.O
Wir versuchen in der Firma gerade,die Berechtigungen für Netzwerkordner komplett zu überarbeiten.
Nur stellen sich da uns diverse Probleme in den Weg.
Problem 1:
Ich gebe an,dass Benutzer XY für Laufwerk G: (+ Unterordner und Dateien) nur Lesezugriff erhält,aber für G:\Ordner1\ (+Unterordner und Dateien) Vollzugriff.
Vererbung wird deaktiviert, jedoch bekomme ich entweder Ergebnis A:
"Vollzugriff auf das komplette Laufwerk" oder Ergebnis B:
"G:\Ordner1\ hat auch nur Lesezugriff"
Problem 2:
Folgende Situation:
Auf Laufwerk G: soll die Gruppe AB zugreifen können. Jedoch auf G: direkt weder Ordner noch Dateien erstellen können.
Weiter gibt es diverse Ordner,die von einigen Benutzer aus Gruppe AB nicht geöffnet werden dürfen...kann ich da Benutzerrechte extrig vergeben,oder muss ich für alle Benutzer aus AB die Rechte vergeben ohne ein Gruppenrecht?
Denn wenn ich so überleg,gibt es 2 Möglichkeiten:
- Durch das extrige Benutzerrecht,steht dieser über dem Gruppenrecht
- Die Grupe steht in der Hierachie weiter oben,so also auch die Rechte und Freigaben
Klingt beides logisch und irgendwie handelt unser W2k3 nach dem Prinzip "ein bisschen von beidem" o.O
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 113887
Url: https://administrator.de/contentid/113887
Ausgedruckt am: 17.12.2024 um 03:12 Uhr
10 Kommentare
Neuester Kommentar
Hi,
guck mal hier, mein dritter Kommentar in diesem Beitrag: Ordner löschen verhindern
Freigabeberechtigungen beachten!
guck mal hier, mein dritter Kommentar in diesem Beitrag: Ordner löschen verhindern
Freigabeberechtigungen beachten!
Servus,
nimm dir mal:
... und dann gehst du irgendwohin, wo kein Telefon ist.
Du willst alles "Neu" machen - gut - dann richtig
Vergebe niemals nie einem Benutzter Rechte auf "irgendwas" - sondern immer einer Gruppe mit aussagekräftigem Namen.
Und wenn (erstmal) nur einer in der Gruppe ist - egal - AGDLP - ist das Stichwort.
Sonst suchst du dir einen Wolf. (Aber nicht, wenn du nach AGDLP suchst) - mach das mal
Gruß
nimm dir mal:
- einen gaaanz großen Topf Kaffe
- einen Stift
- viele Blätter Papier
... und dann gehst du irgendwohin, wo kein Telefon ist.
Du willst alles "Neu" machen - gut - dann richtig
Vergebe niemals nie einem Benutzter Rechte auf "irgendwas" - sondern immer einer Gruppe mit aussagekräftigem Namen.
Und wenn (erstmal) nur einer in der Gruppe ist - egal - AGDLP - ist das Stichwort.
Sonst suchst du dir einen Wolf. (Aber nicht, wenn du nach AGDLP suchst) - mach das mal
Durch das extrige Benutzerrecht,steht dieser über dem Gruppenrecht
Ähh wie meinen ? - oder verstehts du nun, was ich mit "gruppen" meine - du verzettelst dich ruckzuck, wenn jeder und alles irgendwo "sonderrechte" bekommt.Gruß
Wenn ihr die Berechtigung überarbeitet, dann solltet ihr euch auch Gedanken machen ob ihr nicht die Ordnerstrucktur - Freigaben überarbeitet.
Denn es ist so, sind die Freigaben sauber vergeben - dabei denke ich daran die Freigaben nach Themen, Abteilungen oder Arbeitsbereicht zu sortieren (oder eben danach was am sinnvolsten ist, und was man braucht) - ist das mit der Berechtigung nicht mehr so problematisch.
Sauber sortierte Freigaben, ergeben auch saubere eindeutige Organisationseinheiten, die wiederum eindeutige Berechtigungen möglich machen.
Generell würde ich verschachtelte Berechtigungen auf einer Freigabe vermeiden, denn je mehr es werden um so schneller verliert man den Überblick.
Genauso wenn irgendwie möglich Verbote vermeiden.
So wie du es da oben beschreibst, sehe ich die Gefahr dass ihr euch in verschachtelten Benutzerrechte verrennt.
Je einfacher ihr es halten mit den Berechtigungen, um so eher werdet ihr auch noch in einem 1/2 Jahr wissen was ihr da gemacht habt.
PS: Ich schreibe zu langsam^^
Denn es ist so, sind die Freigaben sauber vergeben - dabei denke ich daran die Freigaben nach Themen, Abteilungen oder Arbeitsbereicht zu sortieren (oder eben danach was am sinnvolsten ist, und was man braucht) - ist das mit der Berechtigung nicht mehr so problematisch.
Sauber sortierte Freigaben, ergeben auch saubere eindeutige Organisationseinheiten, die wiederum eindeutige Berechtigungen möglich machen.
Generell würde ich verschachtelte Berechtigungen auf einer Freigabe vermeiden, denn je mehr es werden um so schneller verliert man den Überblick.
Genauso wenn irgendwie möglich Verbote vermeiden.
So wie du es da oben beschreibst, sehe ich die Gefahr dass ihr euch in verschachtelten Benutzerrechte verrennt.
Je einfacher ihr es halten mit den Berechtigungen, um so eher werdet ihr auch noch in einem 1/2 Jahr wissen was ihr da gemacht habt.
PS: Ich schreibe zu langsam^^
mach doch einfach für Firma 3, 2 Freigaben.
Warum gibs du dem Ordner G:\ZZ nicht eine eigene Freigabe?
Somit kannst du dieser Freigabe die Gruppe zuweisen die eben draufschauen kann.
Natürlich geht es auch ohne 2 Freigaben.
Du solltest aber trotzdem mit Gruppen arbeiten und nicht mit einzelnen User.
Gruppe Eins = darf auf LW G: vollzugriff
Gruppe Zwei = darf auf LW G: vollzugriff
Gruppe Zwei = Lesen auf LW G:\ZZ verweigern
Und schon können alle User in Gruppe 2 nicht mehr in ZZ und Unterordner von ZZ reinschauen.
Aber wie gesagt "verweigern" sollte man meiden, wenn es auch anders geht.
Man muss auch nich mal zwei Gruppen für den vollzugriff haben, nur eine Zweite Gruppe fürs "verweigern"
Aber so wäre es übersichtlicher.
Ich würde es aber mit 2 Freigaben machen. Somit kannst du das LW das einige nicht sehen sollen, erst gar nicht mounten.
Warum gibs du dem Ordner G:\ZZ nicht eine eigene Freigabe?
Somit kannst du dieser Freigabe die Gruppe zuweisen die eben draufschauen kann.
Natürlich geht es auch ohne 2 Freigaben.
Du solltest aber trotzdem mit Gruppen arbeiten und nicht mit einzelnen User.
Gruppe Eins = darf auf LW G: vollzugriff
Gruppe Zwei = darf auf LW G: vollzugriff
Gruppe Zwei = Lesen auf LW G:\ZZ verweigern
Und schon können alle User in Gruppe 2 nicht mehr in ZZ und Unterordner von ZZ reinschauen.
Aber wie gesagt "verweigern" sollte man meiden, wenn es auch anders geht.
Man muss auch nich mal zwei Gruppen für den vollzugriff haben, nur eine Zweite Gruppe fürs "verweigern"
Aber so wäre es übersichtlicher.
Ich würde es aber mit 2 Freigaben machen. Somit kannst du das LW das einige nicht sehen sollen, erst gar nicht mounten.
Ich frage mal ganz einfach - wie erstellst du den eine Freigabe ?
Wenn ich einen Ordner freigeben möchte, dann gebe ich unter Eigenschaften/Freigabe, den Ordner frei.
Trage einen Freigabenamen ein und gehe auf Berechtigung wo ich dem "jeder" = vollzugriff
Dann auf den Reiter Sicherheit
Hier habe ich die Möglichkeit meine OU´s (also die Gruppen die ich im Aktive Directory angelegt habe) in die Berechtigung reinzunehmen oder rauszunehmen - wie es mir halt passt.
Unter anderem stehen hier "Administrator = vollzugriff", "Domänen User = lesen" "jeder = lesen"
und wenn man möchte nimmt man die Gruppe A = Ausführen, Schreiben und Gruppe B = Lesen mit auf.
Also in Kurzform:
Reiter Freigabe : Jeder = vollzugriff (und sonst nix)
Reiter Sicherheit: Administrator= vollzugriff, Gruppe A = Ausführen,Schreibe (reicht meistens aus) Gruppe B =Lesen (Besitzer= Administrator)
Vererbung auf die gewünschten Ordner entfernen.
Reiter Sicherheit auf den gewünschten Ordner: Gruppe B entfernen (schon kann Gruppe B nimmer drauf zugreifen, und man hat kein einziges mal verweigern genutzt)
ob du nur für einen User eine eigene Gruppe erstellen sollst, bliebt dir überlassen.
Bedenke jedoch dass vielleicht in ca 2 Monate, jemand zu dir sagt er möchte dass auch User B,C und D, dasselbe können sollen wie User A für den du gerade (vorausschauenderweise) eine eigene Gruppe angelegt hast.
Dann würdest du einfach User B,C und D in diese Gruppe aufnehmen und Feierabend machen. Funktioniert.
Und brachst dir dann keinen Kopf mehr machen " wie war das nochmal damals als ich diesem User A das erlaubt / verweigert habe ?????? "
Naja vieleicht setzt du dich doch bissle mehr mit Berechtigunen auseinander.
Wenn man´s verstanden hat, sind auch verschachtelte Berechtigungen und Vererbung nicht mehr so schwer, dennoch bin ich der Meinung man sollte sie möglichst vermeiden.
PS: zum Thema Verweigern
Ich rate davon ab es einzusetzen wenn das Thema Berechtigungen nicht sitzt. Verweigern ist sehr mächtig. Und Verweigern und Verschachteln, da muss man gut den Überblick behalten. Das ist der einzige Grund warum ich davon abrate. Ich sagte nicht dass es nicht funktioniert.
Wenn ich einen Ordner freigeben möchte, dann gebe ich unter Eigenschaften/Freigabe, den Ordner frei.
Trage einen Freigabenamen ein und gehe auf Berechtigung wo ich dem "jeder" = vollzugriff
Dann auf den Reiter Sicherheit
Hier habe ich die Möglichkeit meine OU´s (also die Gruppen die ich im Aktive Directory angelegt habe) in die Berechtigung reinzunehmen oder rauszunehmen - wie es mir halt passt.
Unter anderem stehen hier "Administrator = vollzugriff", "Domänen User = lesen" "jeder = lesen"
und wenn man möchte nimmt man die Gruppe A = Ausführen, Schreiben und Gruppe B = Lesen mit auf.
Also in Kurzform:
Reiter Freigabe : Jeder = vollzugriff (und sonst nix)
Reiter Sicherheit: Administrator= vollzugriff, Gruppe A = Ausführen,Schreibe (reicht meistens aus) Gruppe B =Lesen (Besitzer= Administrator)
Vererbung auf die gewünschten Ordner entfernen.
Reiter Sicherheit auf den gewünschten Ordner: Gruppe B entfernen (schon kann Gruppe B nimmer drauf zugreifen, und man hat kein einziges mal verweigern genutzt)
ob du nur für einen User eine eigene Gruppe erstellen sollst, bliebt dir überlassen.
Bedenke jedoch dass vielleicht in ca 2 Monate, jemand zu dir sagt er möchte dass auch User B,C und D, dasselbe können sollen wie User A für den du gerade (vorausschauenderweise) eine eigene Gruppe angelegt hast.
Dann würdest du einfach User B,C und D in diese Gruppe aufnehmen und Feierabend machen. Funktioniert.
Und brachst dir dann keinen Kopf mehr machen " wie war das nochmal damals als ich diesem User A das erlaubt / verweigert habe ?????? "
Naja vieleicht setzt du dich doch bissle mehr mit Berechtigunen auseinander.
Wenn man´s verstanden hat, sind auch verschachtelte Berechtigungen und Vererbung nicht mehr so schwer, dennoch bin ich der Meinung man sollte sie möglichst vermeiden.
PS: zum Thema Verweigern
Ich rate davon ab es einzusetzen wenn das Thema Berechtigungen nicht sitzt. Verweigern ist sehr mächtig. Und Verweigern und Verschachteln, da muss man gut den Überblick behalten. Das ist der einzige Grund warum ich davon abrate. Ich sagte nicht dass es nicht funktioniert.
Zitat von @JumpstylerPAF:
Erstelle genauso,wie du beschrieben hast.
Einzigster Unterschied (mein Kollege hat darauf bestanden,da er
irgendwo gelesen hat,dass man "Jeder" ersetzen soll)
ist,dass wir anstatt "Jeder"
"Domänen-Benutzer" in der Freigabe stehen haben.
Erstelle genauso,wie du beschrieben hast.
Einzigster Unterschied (mein Kollege hat darauf bestanden,da er
irgendwo gelesen hat,dass man "Jeder" ersetzen soll)
ist,dass wir anstatt "Jeder"
"Domänen-Benutzer" in der Freigabe stehen haben.
Das ist richtig. Unter der NTFS Berechtigung sollte "Jeder" raus.
Unter Freigabe sollte aber "jeder"=vollzugriff haben, denn die tatsächliche Berechtigung wird auf NTFS gesetzt.
Aber in dem Punkt "lieber ne neue Gruppe erstellen anstatt Benutzer zu verwalten" bin ich optimistisch ^^
Wir haben sowieso nur noch 1 PC frei und der ist für die Praktikanten reserviert,sprich soviele neue Leute werden die nächste Zeit wohl nicht dazukommen.
Der arme Praktikant - der kriegt auch alles verboten !