145971
05.01.2022
3326
3
0
Berechtigungsstruktur
Guten Morgen und ein frohes neues Jahr !
Aktuell habe ich folgendes Problem:
Ich habe einen File Server, welche von der Struktur so durchwachsen war, das fast jeder Ordner individuelle Berechtigungen erhalten hat.
Das macht einen administrative Verwaltung später umständlich und ist auch durchaus unübersichtlich .
Nun habe ich mir folgendes "System" ausgedacht:
Kurze Erklärung:
Es werden zukünftig nur noch Hauptordner (01_Ordner, 02_Odner, ...) berechtigt.
Nicht auf Userebene, sondern AD Gruppen basiert.
Es gibt für jeden Hauptordner zwei AD Gruppen - eine Lesegruppe und eine Schreibgruppe.
Alle Unterordner werden dann nicht mehr individuelle berechtigt, sondern erhalten dieselben Rechne wie der Hauptordner (Vererbung).
Sollte ein Unterordner anderes berechtigt werden, wird daraus ein eigenständige Hauptordner gemacht.
Das zeigt das Bild ebenfalls: 01_Ordner > Unterordner D soll anderes berechtigt werde -> Es wird daraus ein neuer Hauptorder (02_Ordner).
Jetzt komm ich aber zu einer Problem Situation:
Anforderung ist folgende:
01_Ordner sollen 5 User berechtigt werden zum schreiben:
Aber Unterordner A nur 2 User mit Schreibrechte
Unterordner B wieder 2 andere User mit Schreibrechten, usw.
Würde bedeuten:
Nach dem o.g. Schema müsste ich nun für jeden Unterordner einen neuen Hauptordner machen.
Das wären in der Realität 17 Hauptordner (das Bild zeigt nur einen Teil davon).
17 Hauptordner bedeuten ebenfalls 24 AD Gruppen (für jeden Ordner 2 (Lese + Schreibgruppe)).
Diese Art und Weise wäre natürlich auch wieder nicht so elegant.
Natürlich könnte ich jetzt wieder in das alte Schema zurückfallen mit den individuellen Berechtigungen für jeden Unterordner (ohne Vererbung).
Aber das ist eigentlich nicht Sinn der Sache.
Habt Ihr eine Idee wie man dies noch realisieren könnte?
Aktuell habe ich folgendes Problem:
Ich habe einen File Server, welche von der Struktur so durchwachsen war, das fast jeder Ordner individuelle Berechtigungen erhalten hat.
Das macht einen administrative Verwaltung später umständlich und ist auch durchaus unübersichtlich .
Nun habe ich mir folgendes "System" ausgedacht:
Kurze Erklärung:
Es werden zukünftig nur noch Hauptordner (01_Ordner, 02_Odner, ...) berechtigt.
Nicht auf Userebene, sondern AD Gruppen basiert.
Es gibt für jeden Hauptordner zwei AD Gruppen - eine Lesegruppe und eine Schreibgruppe.
Alle Unterordner werden dann nicht mehr individuelle berechtigt, sondern erhalten dieselben Rechne wie der Hauptordner (Vererbung).
Sollte ein Unterordner anderes berechtigt werden, wird daraus ein eigenständige Hauptordner gemacht.
Das zeigt das Bild ebenfalls: 01_Ordner > Unterordner D soll anderes berechtigt werde -> Es wird daraus ein neuer Hauptorder (02_Ordner).
Jetzt komm ich aber zu einer Problem Situation:
Anforderung ist folgende:
01_Ordner sollen 5 User berechtigt werden zum schreiben:
Aber Unterordner A nur 2 User mit Schreibrechte
Unterordner B wieder 2 andere User mit Schreibrechten, usw.
Würde bedeuten:
Nach dem o.g. Schema müsste ich nun für jeden Unterordner einen neuen Hauptordner machen.
Das wären in der Realität 17 Hauptordner (das Bild zeigt nur einen Teil davon).
17 Hauptordner bedeuten ebenfalls 24 AD Gruppen (für jeden Ordner 2 (Lese + Schreibgruppe)).
Diese Art und Weise wäre natürlich auch wieder nicht so elegant.
Natürlich könnte ich jetzt wieder in das alte Schema zurückfallen mit den individuellen Berechtigungen für jeden Unterordner (ohne Vererbung).
Aber das ist eigentlich nicht Sinn der Sache.
Habt Ihr eine Idee wie man dies noch realisieren könnte?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1691128957
Url: https://administrator.de/forum/berechtigungsstruktur-1691128957.html
Ausgedruckt am: 08.05.2025 um 19:05 Uhr
3 Kommentare
Neuester Kommentar
Moin,
Habt Ihr eine Idee wie man dies noch realisieren könnte?
Mit Unterordner-Berechtigungen ohne Vererbung.
Beispiel bei uns. Wir haben über 180 AD-Berechtigungsgruppen, bei 72 AD-Logins. Ja das ist eine Menge, liegt aber in der strengen Zugriffsberechtigung begründet. Würde ich deine "neue" Struktur umsetzen, dann hätte ich ca. 90 Hauptordner. Du schreibst selbst:
Gruß
Doskias
Zitat von @145971:
17 Hauptordner bedeuten ebenfalls 24 AD Gruppen (für jeden Ordner 2 (Lese + Schreibgruppe)).
34, oder?17 Hauptordner bedeuten ebenfalls 24 AD Gruppen (für jeden Ordner 2 (Lese + Schreibgruppe)).
Diese Art und Weise wäre natürlich auch wieder nicht so elegant.
Wenn du bei deiner neuen Struktur bleiben willst, ist es elegant. Wir habend das ganze ebenfalls so aufgezogen mit den AD-Gruppen. Es gibt immer eine Gruppe Read und Write. teilweise mit einer Person drin, aber dafür immerhin einheitlich.Natürlich könnte ich jetzt wieder in das alte Schema zurückfallen mit den individuellen Berechtigungen für jeden Unterordner (ohne Vererbung).
Was spricht denn dagegen? Ich persönlich finde das vorgehen auf der Vererbung zu beharren relativ starr und unflexibel. Irgendwann wirst du dann immer wieder Unterordner "befördern" müssen.Aber das ist eigentlich nicht Sinn der Sache.
Doch genau das ist Sinn von Berechtigungen. Habt Ihr eine Idee wie man dies noch realisieren könnte?
Beispiel bei uns. Wir haben über 180 AD-Berechtigungsgruppen, bei 72 AD-Logins. Ja das ist eine Menge, liegt aber in der strengen Zugriffsberechtigung begründet. Würde ich deine "neue" Struktur umsetzen, dann hätte ich ca. 90 Hauptordner. Du schreibst selbst:
Ich habe einen File Server, welche von der Struktur so durchwachsen war, das fast jeder Ordner individuelle Berechtigungen erhalten hat.
Dein Problem sind die individuellen Berechtigungen. Du musst aber die Struktur im Fileserver vorgeben und dann auch mal nein sagen können. Beispiel: Es gibt einen Ordner Kunden, mit den Unterordnern Nord, Süd, Ost und West. Jeder Kundenbetreuer hat nur auf seine Region Zugriff. Lösung 1 Ordner Kunden auf den alle 8 (4 Gruppen schreibend, 4 Gruppen lesend) zugriff haben und 4 Unterordner in dem die Berechtigung deaktiviert ist und nur 2 Gruppen entsprechend berechtigt sind. Würde ich deine "neue" Struktur umsetzen, müsste ich die Regionen der Kunden als separaten Ordner anlegen. Und genau dadurch würde (meiner Meinung nach) wieder Wildwuchs und Unübersichtlichkeit entstehen.Gruß
Doskias
Ja, 34 - war noch früh :/
Danke für die detaillierte Antwort !
Werde mir darüber mal Gedanken machen
Danke für die detaillierte Antwort !
Werde mir darüber mal Gedanken machen
Hi
Arbeite das mal durch
https://help.migraven.com/best-practice-fuer-die-berechtigungsvergabe-au ...
Erste Ebene bekommt kein mx oder re recht sondern nur ein li für Listrecht.
Ab Ebene zwei kannst du dann berechtigen.
Das mit dem hochziehen ist dann wie du oben beschreibst sinnvoll, wenn die Berechtigungen gebrochen werden sollen. Vererbungsbrüche sind schlecht und müssen vermeiden werden.
Und verwende DFS-Namespace zum bereitstellen der Freigaben.
DFS-Namespace kann auch ABE.
Bau deine Gruppen z.b so auf
\\Domain.tld\dfs\Ebene1\Ordner1
FS_dfs_Ebene1_ls
In der Gruppe sind dann nur die darunterliegenden Gruppen:
FS_dfs_Ebene1_Ordner1_mx und
FS_dfs_Ebene1_Ordner1_re enthalten.
In die Beschreibung schreibst du Einfach nur den DFS / UNC Pfad zur Zuordnung.
Sollte es eine Ebene unterhalb von Ordner1 noch einen Ordner geben, auf welchen berechtigt werden soll, dann muss noch ein
FS_dfs_Ebene1_Ordner1_li erstellt werden.
Dieser beinhaltet dann wieder FS_dfs_Ebene1_Ordner1_Noch_ein_Ornder_mx und re.
Bei Mx solltest du anstatt einfach nur modify zu setzen folgendes Recht setzen:
https://help.migraven.com/modifyplus/
Mit freundlichen Grüßen Nemesis
Arbeite das mal durch
https://help.migraven.com/best-practice-fuer-die-berechtigungsvergabe-au ...
Erste Ebene bekommt kein mx oder re recht sondern nur ein li für Listrecht.
Ab Ebene zwei kannst du dann berechtigen.
Das mit dem hochziehen ist dann wie du oben beschreibst sinnvoll, wenn die Berechtigungen gebrochen werden sollen. Vererbungsbrüche sind schlecht und müssen vermeiden werden.
Und verwende DFS-Namespace zum bereitstellen der Freigaben.
DFS-Namespace kann auch ABE.
Bau deine Gruppen z.b so auf
\\Domain.tld\dfs\Ebene1\Ordner1
FS_dfs_Ebene1_ls
In der Gruppe sind dann nur die darunterliegenden Gruppen:
FS_dfs_Ebene1_Ordner1_mx und
FS_dfs_Ebene1_Ordner1_re enthalten.
In die Beschreibung schreibst du Einfach nur den DFS / UNC Pfad zur Zuordnung.
Sollte es eine Ebene unterhalb von Ordner1 noch einen Ordner geben, auf welchen berechtigt werden soll, dann muss noch ein
FS_dfs_Ebene1_Ordner1_li erstellt werden.
Dieser beinhaltet dann wieder FS_dfs_Ebene1_Ordner1_Noch_ein_Ornder_mx und re.
Bei Mx solltest du anstatt einfach nur modify zu setzen folgendes Recht setzen:
https://help.migraven.com/modifyplus/
Mit freundlichen Grüßen Nemesis
