4
Best Practice Berechtigungskonzept Fileserver
Hi,
wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.
Kleiner Auszugaus der bestehenden Dokumentenstruktur:
d:\dokument
Laufwerk X ist mit \\server\d$ verbunden.
User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.
Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.
Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.
Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?
Vielen Dank im Voraus für Eure Hilfe.
Gruß
Olli
wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.
Kleiner Auszugaus der bestehenden Dokumentenstruktur:
d:\dokument
- |-> Abteilung1
- |-> User1
- |-> User2
- |-> User3
- |-> public für User2 und User3
- |-> public für User1,User2 und User4
- |-> public für Abteilung1
- |-> Abteilung2
- |-> User4
- |-> User5
- |-> public für Abteilung2
- |-> Gruppe Nord
- |-> User6
- |-> User7
- |-> public für Gruppe Nord
- |-> Gruppe Süd
- |-> User8
- |-> User9
- |-> public für Gruppe Süd
- |-> public für alle
Laufwerk X ist mit \\server\d$ verbunden.
User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.
Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.
Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.
Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?
Vielen Dank im Voraus für Eure Hilfe.
Gruß
Olli
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 75301
Url: https://administrator.de/forum/best-practice-berechtigungskonzept-fileserver-75301.html
Ausgedruckt am: 21.04.2025 um 22:04 Uhr
4 Kommentare
Neuester Kommentar
Ich schlage dir folgendes vor:
Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:
Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".
Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente
Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:
Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".
Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente
Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Hi,
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?
Gruß
Olli
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?
Gruß
Olli
Tja, man lernt nie aus. Wusste gar nicht, dass es so was wie ABE gibt, musste es zuerst googeln. Ich persönlich sehe den Sinn von ABE im Moment nicht, aber wenn du ABE wirklich verwenden willst, kann ich dir leider nicht helfen. Ich habe noch nie damit gearbeitet und wir verwenden es auch im Betrieb nicht.
Edit:
Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Edit:
Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Hi,
das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.
Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.
Gruß
Olli
das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.
Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.
Gruß
Olli
