26
Fileserver-Struktur: Wie macht ihr das mit den (zusätzlichen) Berechtigungen und überhaupt mit der Struktur?
Hallo Leute,
wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16.
Ich soll ein Konzept erarbeiten und dann sehen wir weiter.
Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist.
Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde).
Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte.
Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist).
In Projekten bzw. deren Projektordnern sowieso.
Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum).
So, soweit so gut.
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können.
Wie macht ihr das? Wie löst man das am Besten?
IST-Zustand:
Root
- Team 1
- - Teamleiter 1
- - - Koordinator 1 Team 1
- - - - Gruppenleiter 1 Team 1
- - - - - Gruppe 1 Team 1
- - - - Gruppenleiter 2 Team 1
- - - - - Gruppe 2 Team 1
- - - Koordinator 2 Team 1
- - - - Gruppenleiter 3 Team 1
- - - - - Gruppe 3 Team 1
- Team 2
- - Teamleiter 2
- - - Koordinator 1 Team 2
- - - - Gruppenleiter 1 Team 2
- - - - - Gruppe 1 Team 2
- Team 3
- - Teamleiter 3
- - - Koordinator 1 Team 3
- - - - Gruppenleiter 1 Team 3
- - - - - Gruppe 1 Team 3
- - - Koordinator 2 Team 3
- - - - Gruppenleiter 2 Team 3
- - - - - Gruppe 2 Team 3
usw..
Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind.
Davon wollen wir, auf die Empfehlung diverser User von administrator.de und eines anderen Borads, wegkommen.
Angedacht ist folgendes:
- root
- - Team 1
- - - Teamleiter 1
- - - Koordinator 1 Team 1
- - - Koordinator 2 Team 1
- - - Gruppenleiter 1 Team 1
- - - Gruppenleiter 2 Team 1
- - - Gruppenleiter 3 Team 1
- - - Gruppe 1 Team 1
- - - Gruppe 2 Team 1
- - - Gruppe 3 Team 1
- - Team 2
- - - Teamleiter 2
- - - Koordinator 1 Team 2
- - - Gruppenleiter 1 Team 2
- - - Gruppe 1 Team 2
- - Team 3
- - - Teamleiter 3
- - - Koordinator 1 Team 3
- - - Koordinator 2 Team 3
- - - Gruppenleiter 1 Team 3
- - - Gruppenleiter 2 Team 3
- - - Gruppe 1 Team 3
- - - Gruppe 2 Team 3
- - Projekte
- - - Projekt 1
- - - Projekt 2
- - - Projekt 3
Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen).
So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus administrator.de und einem anderen Board verstanden hatte.
Wenn ich auf dem Holzweg bin dann bitte einschreiten...
Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar).
Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben.
ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen?
Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung?
Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar...
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann.
Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!
wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16.
Ich soll ein Konzept erarbeiten und dann sehen wir weiter.
Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist.
Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde).
Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte.
Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist).
In Projekten bzw. deren Projektordnern sowieso.
Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum).
So, soweit so gut.
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können.
Wie macht ihr das? Wie löst man das am Besten?
IST-Zustand:
Root
- Team 1
- - Teamleiter 1
- - - Koordinator 1 Team 1
- - - - Gruppenleiter 1 Team 1
- - - - - Gruppe 1 Team 1
- - - - Gruppenleiter 2 Team 1
- - - - - Gruppe 2 Team 1
- - - Koordinator 2 Team 1
- - - - Gruppenleiter 3 Team 1
- - - - - Gruppe 3 Team 1
- Team 2
- - Teamleiter 2
- - - Koordinator 1 Team 2
- - - - Gruppenleiter 1 Team 2
- - - - - Gruppe 1 Team 2
- Team 3
- - Teamleiter 3
- - - Koordinator 1 Team 3
- - - - Gruppenleiter 1 Team 3
- - - - - Gruppe 1 Team 3
- - - Koordinator 2 Team 3
- - - - Gruppenleiter 2 Team 3
- - - - - Gruppe 2 Team 3
usw..
Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind.
Davon wollen wir, auf die Empfehlung diverser User von administrator.de und eines anderen Borads, wegkommen.
Angedacht ist folgendes:
- root
- - Team 1
- - - Teamleiter 1
- - - Koordinator 1 Team 1
- - - Koordinator 2 Team 1
- - - Gruppenleiter 1 Team 1
- - - Gruppenleiter 2 Team 1
- - - Gruppenleiter 3 Team 1
- - - Gruppe 1 Team 1
- - - Gruppe 2 Team 1
- - - Gruppe 3 Team 1
- - Team 2
- - - Teamleiter 2
- - - Koordinator 1 Team 2
- - - Gruppenleiter 1 Team 2
- - - Gruppe 1 Team 2
- - Team 3
- - - Teamleiter 3
- - - Koordinator 1 Team 3
- - - Koordinator 2 Team 3
- - - Gruppenleiter 1 Team 3
- - - Gruppenleiter 2 Team 3
- - - Gruppe 1 Team 3
- - - Gruppe 2 Team 3
- - Projekte
- - - Projekt 1
- - - Projekt 2
- - - Projekt 3
Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen).
So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus administrator.de und einem anderen Board verstanden hatte.
Wenn ich auf dem Holzweg bin dann bitte einschreiten...
Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar).
Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben.
ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen?
Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung?
Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar...
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann.
Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 580198
Url: https://administrator.de/contentid/580198
Printed on: May 8, 2024 at 11:05 o'clock
26 Comments
Latest comment
Hallo,
leider gilt hier, diese Struktur dürfte so spezifisch sein, dass man spezifisch wissen muss ,wer welcher Gruppe angehört um das praktikabel zu designen. Also solltest du dir dazu Gedanken machen (die meisten sind ja schon da, aber anscheinend nicht so Recht die Entscheidungsfreudigkeit (o.ä?)) bzw jemanden hin zu ziehen, der dir "am Objekt" sagen kann, was Sinn macht. So können wir mit Platzhaltern jonglieren, wie wir wollen, am Ende geht es ggf. Meilenweit am Ziel vorbei.
VG,
Christian
certifiedit.net
leider gilt hier, diese Struktur dürfte so spezifisch sein, dass man spezifisch wissen muss ,wer welcher Gruppe angehört um das praktikabel zu designen. Also solltest du dir dazu Gedanken machen (die meisten sind ja schon da, aber anscheinend nicht so Recht die Entscheidungsfreudigkeit (o.ä?)) bzw jemanden hin zu ziehen, der dir "am Objekt" sagen kann, was Sinn macht. So können wir mit Platzhaltern jonglieren, wie wir wollen, am Ende geht es ggf. Meilenweit am Ziel vorbei.
VG,
Christian
certifiedit.net
Ok, vielleicht habe ich ja gleich alles erschlagen wollen mit einem einzigen Post.
Machen wir das dann konkreter:
Ich habe einen Projekt-Ordner Namens "Projekt1".
Ich habe eine AD-Sicherheitsgruppe "Projekt1" in dem diverse andere AD-Gruppen oder auch Einzelne User Mitglied sind.
Dieser AD-Sicherheitsgruppe ist berechtigt im Ordner "Projekt1" zu lesen, zu schreiben und zu ändern.
Jetzt habe ich einen User Max. Max ist in keinem der Gruppen drinn in dem er die Berechtigung bekommen hätte im Ordner "Projekt 1" zu lesen / schreiben / ändern. Max soll auch nur im Unterordner "Unterprojekt 1" ("Projek 1\Unterprojekt 1") lesen können.
So, wie mache ich das am praktikablesten? Wie macht ihr es?
Wie wir das hier bisher gemacht hätten wäre: Max darf "Ordner auflisten" auf "Projekt 1". Max darf "Lesen" auf "Unterprojekt 1" (also "Projekt 1\Unterprojekt 1").
WENN das sowieso nicht anders geht, oder wenn das sowieso die gängiste Vorgehensweise ist, dann ist ja alles i.O.. ich gehe davon jetzt mal aus weil ich nichts anderes kenne...
Ich hätte gedacht jemand kommt mit einem Augenrollen und meint: wie oldschool bist du denn drauf? Das geht doch mit "irgend-ein-kauder-welsch" am Besten! Sprich also so und so und hier ein Haken und dort dann klicken und voila....
Machen wir das dann konkreter:
Ich habe einen Projekt-Ordner Namens "Projekt1".
Ich habe eine AD-Sicherheitsgruppe "Projekt1" in dem diverse andere AD-Gruppen oder auch Einzelne User Mitglied sind.
Dieser AD-Sicherheitsgruppe ist berechtigt im Ordner "Projekt1" zu lesen, zu schreiben und zu ändern.
Jetzt habe ich einen User Max. Max ist in keinem der Gruppen drinn in dem er die Berechtigung bekommen hätte im Ordner "Projekt 1" zu lesen / schreiben / ändern. Max soll auch nur im Unterordner "Unterprojekt 1" ("Projek 1\Unterprojekt 1") lesen können.
So, wie mache ich das am praktikablesten? Wie macht ihr es?
Wie wir das hier bisher gemacht hätten wäre: Max darf "Ordner auflisten" auf "Projekt 1". Max darf "Lesen" auf "Unterprojekt 1" (also "Projekt 1\Unterprojekt 1").
WENN das sowieso nicht anders geht, oder wenn das sowieso die gängiste Vorgehensweise ist, dann ist ja alles i.O.. ich gehe davon jetzt mal aus weil ich nichts anderes kenne...
Ich hätte gedacht jemand kommt mit einem Augenrollen und meint: wie oldschool bist du denn drauf? Das geht doch mit "irgend-ein-kauder-welsch" am Besten! Sprich also so und so und hier ein Haken und dort dann klicken und voila....
Zitat von @kaineanung:
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Hallo,
sehr umfangfreich notiert, da werden alte Erinnerungen wach.
Durch den Einsatz von einem Produktdatenmanagementsystem kann diese Thematik gelöst werden. Es mag sein das ausgebildete Informatiker sich (noch) mit der Datenverwaltung in diesem Detailgrad beschäftigen müssen, man kann es aber auch projektbezogen auf den Projektmanager abwälzen, innerhalb vom PDM-System.
Über kurz oder lang glaube ich hier wird ein Chaos entstehen, je nach Anzahl der Unterordner in Kombination mit den Rechten. Irgendwann benötigst du ein Audittool zur Kontrolle.
Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Was ein 3rd-Party-System angeht auf unserem Fileserver:
wird sich nicht lohnen da wir konkret im Moment tatsächlich nur ein paar "Max-User" haben die auch nur in einem der Projekte, jedoch in diversen Unterprojekten lesend Zugriff haben sollen.
Das allerallermeiste soll entweder mit den flachen Gruppenordnern und eben den flexiblen Projektordnern erschlagen werden.
Aber in jeder Regel gibt es eine oder mehrere Ausnahmen. Dies ist unsere. Und die Frage ist jetzt: machen wie bisher (und wie ich es oben beschrieben habe) oder gibt es da noch andere Techniken die der moderne Administrator einsetzt um diese Problemchen zu lösen?
Und allgemein nochmal gefragt: macht es Sinn vom Firmenorganigram auf diese flache Struktur zu wechseln so wie ich es beschrieben und versucht zu verbildlichen habe oder ist das zu viel / zu wenig oder ihr würdet es ganz anders machen?
Man könnte nämlich noch eine flachere Struktur erstellen in dem ALLES in root ist und gar keine Gruppierung stattfindet. Meiner Meinung nach unübersichtlich und wirr (die armen Leute die viele oder alle Berechtigungen besitzen -> das würde dann unübersichtlich und hässlich werden). Könnte aber sein das dies so besser ist weil ich noch nicht alles überblicke? Ausserdem habe ich hier einen Hybriden aus Gruppenordnern und Projektordnern. Kann ja jemand auf die Idee kommen das eine Gruppe auch ein Projekt darstellen könnte und was wieder zu einer noch flacheren und unübersichtlicheren Struktur führen würde wie gerade beschrieben.
Was ein 3rd-Party-System angeht auf unserem Fileserver:
wird sich nicht lohnen da wir konkret im Moment tatsächlich nur ein paar "Max-User" haben die auch nur in einem der Projekte, jedoch in diversen Unterprojekten lesend Zugriff haben sollen.
Das allerallermeiste soll entweder mit den flachen Gruppenordnern und eben den flexiblen Projektordnern erschlagen werden.
Aber in jeder Regel gibt es eine oder mehrere Ausnahmen. Dies ist unsere. Und die Frage ist jetzt: machen wie bisher (und wie ich es oben beschrieben habe) oder gibt es da noch andere Techniken die der moderne Administrator einsetzt um diese Problemchen zu lösen?
Und allgemein nochmal gefragt: macht es Sinn vom Firmenorganigram auf diese flache Struktur zu wechseln so wie ich es beschrieben und versucht zu verbildlichen habe oder ist das zu viel / zu wenig oder ihr würdet es ganz anders machen?
Man könnte nämlich noch eine flachere Struktur erstellen in dem ALLES in root ist und gar keine Gruppierung stattfindet. Meiner Meinung nach unübersichtlich und wirr (die armen Leute die viele oder alle Berechtigungen besitzen -> das würde dann unübersichtlich und hässlich werden). Könnte aber sein das dies so besser ist weil ich noch nicht alles überblicke? Ausserdem habe ich hier einen Hybriden aus Gruppenordnern und Projektordnern. Kann ja jemand auf die Idee kommen das eine Gruppe auch ein Projekt darstellen könnte und was wieder zu einer noch flacheren und unübersichtlicheren Struktur führen würde wie gerade beschrieben.
Zitat von @kaineanung:
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
↓↓↓Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Zitat von @nachgefragt:
Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
↓↓↓Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
Zitat von @kaineanung:
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Ich kenne das, auch wenn noch weitere Sonderwünsche (sicherlich) hinzukommen (werden), im Unterordner vom Unterordner vom Unterordner [...]; letztendlich nicht mehr zu verwalten. In dem Fall wieder auf flache Strukturen beharren, ausgenommen jemand hat Zeit für diesen (künftigen) Verwaltungsaufwand.
Meiner Meinung nach unübersichtlich
Aber bei dir sehen die Benutzer auch wirklich nur die Ordner auf diese sie auch Rechte haben, den Rest blendet es aus, richtig?Zitat von @nachgefragt:
Ich kenne das, auch wenn noch weitere Sonderwünsche (sicherlich) hinzukommen (werden), im Unterordner vom Unterordner vom Unterordner [...]; letztendlich nicht mehr zu verwalten. In dem Fall wieder auf flache Strukturen beharren, ausgenommen jemand hat Zeit für diesen (künftigen) Verwaltungsaufwand.
Ach so, jetzt bin ich wieder runter vom Schlauch.Zitat von @kaineanung:
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
↓↓↓Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Zitat von @nachgefragt:
Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
↓↓↓Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
Zitat von @kaineanung:
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Ich kenne das, auch wenn noch weitere Sonderwünsche (sicherlich) hinzukommen (werden), im Unterordner vom Unterordner vom Unterordner [...]; letztendlich nicht mehr zu verwalten. In dem Fall wieder auf flache Strukturen beharren, ausgenommen jemand hat Zeit für diesen (künftigen) Verwaltungsaufwand.
Ja klar kann man dies verhindern wenn man es einfach verbietet. Wir haben auch vor dies alles zu verbieten, aber in einem Projekt ist es bereits absehbar das dies so sein muss das User erst im Unterordner eines Projektes (hoffentlich belibt es auch bei einem) lesen sollen.
Da dachte ich gibt es irgendwas das mir automatisch die übergeordnete Ordner-Hierarchie automatisch auf 'Ordnerinhalte auflisten' setzt wenn ich auf dem Unterordner ein Lesen-Recht vergebe. So ähnlich wie ABE automatisch alle nebeneinanderliegende Ordner ausblendet auf welchen man keine Lesen-Berechtigung hat.
Meiner Meinung nach unübersichtlich
Aber bei dir sehen die Benutzer auch wirklich nur die Ordner auf diese sie auch Rechte haben, den Rest blendet es aus, richtig?Wir ITler als auch die oberste Riege mit mehr Berechtigung oder der GF der ganz oben steht und alles sehen kann, wir hätten es dann total unübersichtlich wenn es wirklich nur 1 Eben geben würde wo alle Ordner enthalten wären nebeneinander.
Aber ich denke schon das meine kleine Gruppierung Sinn macht und der Rest erledigt dann ABE.
Wir regeln alles über Gruppen im AD und schreiben diese in die NTFS-Berechtigungen. Seit ein paar Jahren ist auch ABE aktiviert.
Zitat von @142583:
Wir regeln alles über Gruppen im AD und schreiben diese in die NTFS-Berechtigungen. Seit ein paar Jahren ist auch ABE aktiviert.
Wir regeln alles über Gruppen im AD und schreiben diese in die NTFS-Berechtigungen. Seit ein paar Jahren ist auch ABE aktiviert.
Ja, genau dahin wollen wir auch.
Ist auf den Ordnern in der NTFS-Berechtigung dann auch nur diese eine Sicherheitsgruppe enthalten (neben dem Administrator) und der Rest wird durch AD geregelt wer Mitglied von wem ist?
Genau so stelle ich mir das vor.
ABER: wenn es dann eine Ausnahme gibt das ein User in einem Unterordner lesend zugreifen muss, wie macht ihr das dann?
Wie macht ihr das wenn User im ganzen Projekt nur lesend zugreifen dürfen und andere schreiben und ändern sollen? Habt ihr dann 2 Projektbezogene Sicherheitsgruppen und in der NTFS eben auf einer 'nur lesen' und auf anderer 'lesen, schreiben, ändern"?
Lies dich Mal in "NTFS Berechtigung Konzept" bei Google. Oder im Englischen.
Eigentlich ist dazu alles gesagt.
Grundsätzlich können schreibende Gruppen in lesenden Gruppen sein und umgedreht.
ALLES wird über Gruppen gemacht, auch für ein User-Themen.
Es gibt keinen Vollzugriff, auch nicht für (normale) Admins.
ABE wird gepflegt.
Teamänderungen, Vertretungen, Audits, alles in Sekundenschnelle berechtigt.
Eigentlich ist dazu alles gesagt.
Grundsätzlich können schreibende Gruppen in lesenden Gruppen sein und umgedreht.
ALLES wird über Gruppen gemacht, auch für ein User-Themen.
Es gibt keinen Vollzugriff, auch nicht für (normale) Admins.
ABE wird gepflegt.
Teamänderungen, Vertretungen, Audits, alles in Sekundenschnelle berechtigt.
Zitat von @kaineanung:
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
Also als eine Art persönliches Laufwerk und das möchtest du jedem User nun nehmen?
Ich habe das Thema die letzten Monate auch durchgekaut und es wird beim nun kommenden Neuaufbau der Domain auch zum Tragen kommen, allerdings ist bei uns die Struktur nicht so easy.
Es geht auch nur noch mit einem Neuaufbau denn es gibt keine Struktur, manch einer hat unter einem Abteilungsordner seinen persönlichen Ordner angelegt, dann gab es mal eine Umfirmierung von GmbH zu GmbH & Co. KG da wurde dann ein neuer Firmenordner angelegt, 30% dahin verschoben alles andere ist im alten Ordner aktuell...
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Zudem gibt es so lange Pfade, dass die Begrenzung des Dateisystems uns beinahe täglich begrüßt.
Ich bin auf dem Punkt stehen geblieben dem User möglichst von lokaler Speicherung zu befreien (Ordnerumleitung), war zwingend nötig und ist vorab umgesetzt, dann musste eine Erklärung her in wie weit man firmenbezogenes, aber persönliches in eigenen Dokumenten speichert und wann man auf den Dateiserver zurückgreift.
Letztlich geht dann nichts über eine gute Struktur und ich denke die hast du hier schon gefunden, aber und das ist in meinen Augen wichtig (ABE hin oder her), die Mitarbeiter müssen mit ins Boot - nicht in der Entscheidungsfindung - sondern im Informationsfluss wie das Konzept zu bedienen ist.
Zitat von @dertowa:
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Das kommt mir sehr bekannt vor. Das können unsere Mädels hier auch sehr gut. Dafür haben wir dann auch neue Ordner, in denen dann uralte Dateien liegen.Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Andere Möglichkeit: In den NTFS-Berechtigungen für den "Oberordner" (nicht für die Dateien darin) nur die Berechtigungen "Ordner durchsuchen / Daten lesen", "Berechtigungen lesen" und "Attribute lesen" erteilen. Dann kann man durch den Ordner zu dem Unterordner navigieren.
Schönes UFP-Logo übrigens ;)
@sarek
Lebe lang und in Frieden
Lebe lang und in Frieden
\\//_
🖖
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Zitat von @dertowa:
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Das kommt mir sehr bekannt vor. Das können unsere Mädels hier auch sehr gut. Dafür haben wir dann auch neue Ordner, in denen dann uralte Dateien liegen.Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Wir lösen das bei uns mit sog. Power-Usern. Das sind in jeder Abteilung eigens intensiv geschulte User, die die Berechtigung haben, in "ihrem" Bereich neuen Mitarbeitern Lese/Schreibrechte für diverse Unterordner einzuräumen. Diese User sind Namnetlich im Unternehmen bekannt und wenn es darum geht, Berechtigungen in dieser Form einzurichten, wird das schriftlich beantragt. So bleibt alles nachvollziehbar/nachweisbar und es gibt bei diversen Audits keine Findings.
Für uns mach das Sinn, weil viele Dinge einfach auc Projektübergreifend stattfinden und es durchaus sein kann, dass mal ein MA aus Projekt 1 in einen bestimmten Bereich bei Projekt 2 Einblick bekommen soll, weil er hier auch zuarbeiten soll.
So sind wir in der IT aus der Nummer raus, ständig für Max und Schorsch und hast du nicht gesehen irgendwelche Berechtigungen verändern/anlegen/löschen zu müssen.
Vielleicht mach so eine Lösung/so ein Ansatz für euch ja uch Sinn?
Grüße
Uwe
1
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Symbolische Links heben ja keine NTFS-Berechtigungen auf.
Hier muss einfach eine AD-Gruppe auf dem übergeordneten Ordner Berechtigungen für "Ordnerinhalt auflisten" (Anwenden auf: nur diesen Ordner) erhalten und in den Unterordnern dann die entsprechende Berechtigung gesetzt werden.
Zitat von @dertowa:
Also als eine Art persönliches Laufwerk und das möchtest du jedem User nun nehmen?
Zitat von @kaineanung:
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
Also als eine Art persönliches Laufwerk und das möchtest du jedem User nun nehmen?
Nein, gerade das ist ja das Problem das mir viele Empfehlen nur noch auf Projektbasierende Ordnerstruktur umzuschwenken. Das wird bei uns nicht gehen und daher der Hybride: Es gibt Teamordner (z.B. Vertrieb) und da darunter dann flach alle Gruppenordner der einzelnen Gruppen oder auch Gruppenleitern und Koordinatoren. Die ABE kümmert sich darum das man nur die sieht in welche man berechtigt ist und alles andere ausgeblendet.
Daneben habe ich einen Projektordner -> da werden nur die Projekte angezeigt (dank ABE) in welche man laut AD-Gruppenzugehörigkeit auch dazugehört.
Was aber ganz neu hinzugekommen ist: jeder steigt im root ein und klickt sich durch die 1-2 Ebenen selber durch bis zu seinen Ordnern und steigt nicht direkt in sein Ordner ein mit einem Laufwerksmapping.
Und was auch neu sein wird ist daß die Gruppenleiter, Teamleiter und Koordinatoren nicht mehr hierarchisch abgebildet sind sondern flach nebeneinander. Ein Gruppenleiter (aus dem Vertrieb) navigiert somit zum Ordner 'Vertrieb' und sieht dort 1. sein Ordner und 2. die seiner Gruppe.
Ein Teamleiter sieht eben Gruppenordner und alle Gruppenleiterordner usw..
Das hat er bisher auch machen können, nur ist es nun flach nebeneinander und alle steigen in Root ein und sehen nur das was sie sehen sollen.
Ich habe das Thema die letzten Monate auch durchgekaut und es wird beim nun kommenden Neuaufbau der Domain auch zum Tragen kommen, allerdings ist bei uns die Struktur nicht so easy.
Wenn du nur wüsstest wie uneasy sie bei usn bisher ist..Es geht auch nur noch mit einem Neuaufbau denn es gibt keine Struktur, manch einer hat unter einem Abteilungsordner seinen persönlichen Ordner angelegt, dann gab es mal eine Umfirmierung von GmbH zu GmbH & Co. KG da wurde dann ein neuer Firmenordner angelegt, 30% dahin verschoben alles andere ist im alten Ordner aktuell...
Haha, du arbeitest nicht zufällig in meiner Firma? Bernd, bist du das etwa? Hahah. Spaß bei Seite: bei uns auch, bei uns auch...
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Kann ich locker toppen allerdings auf unserem Workgoup-Server (eMail):
Ein Vertriebsmanager hat sein 'Archiv' im Papierkorb gepflegt. Ich habe es einmal gelöscht gehabt als ich was anderes an seinem Notebook gemacht hatte (so nebenbei weil ich mich gewundert habe warum der Papierkorb so voll ist) und da ist die Panik ausgebrochen...
Letztlich geht dann nichts über eine gute Struktur und ich denke die hast du hier schon gefunden, aber und das ist in meinen Augen wichtig (ABE hin oder her), die Mitarbeiter müssen mit ins Boot - nicht in der Entscheidungsfindung - sondern im Informationsfluss wie das Konzept zu bedienen ist.
Ich wollte eigentlich auch eine Bestätigung ob meine vorgeschlagene Struktur so 'modern', 'normal' und 'durchschnttlich' ist damit ich mich da etwas wohler fühle und nicht irgendwie wieder voll auf den falschen Dampfer bin.
Was die Mitarbeiter angeht: bis zu einem gewissen Grad wollen wir denen entgegenkommen und daher gibt es auch nach wie vor Gruppenordner und nicht nur Projektordner. Die werden dankbar sein und werden froh sein das es auf dem neuen Fileserver endlich Platz gibt und alles andere ist Nebensache... ;)
Symbolischer Link! Das ist eine gute Idee zumindest um das Problem mit dem Oberordner zu lösen: dann muss man keine 'Nur Ordner auflisten'-Berechtigung vergeben die man später eventuell vergisst wegzumachen sofern benötigt.
"Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren."
Ja, daher müsste ich auf den Oberordner ja 'Nur Ordner auflisten'-Berechtigung geben. Dann würde es gehen. User öffnet Oberordner, sieht nur die Ordner in denen er leseberechtigt ist und sonst nichts und öffnet diese dann.Zitat von @SarekHL:
Andere Möglichkeit: In den NTFS-Berechtigungen für den "Oberordner" (nicht für die Dateien darin) nur die Berechtigungen "Ordner durchsuchen / Daten lesen", "Berechtigungen lesen" und "Attribute lesen" erteilen. Dann kann man durch den Ordner zu dem Unterordner navigieren.
Ja, das war ja meine bisherige Vorgehensweise. Das ist aber eben relativ viel 'manuelle' Arbeit an mehreren Stellen (Den übergeordneten Ordnern manuell diese Berechtigung setzen und dann erst die entsprechenden Unterordner mit Lesen-Berechtigung versehen. Da habe ich nach einem besseren System gesucht. System habeich nicht gefunden, aber vielleicht ist daß mit dem symblischen Link eine Erleichterung? Muss ich mal schauen was mir besser liegt..Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Andere Möglichkeit: In den NTFS-Berechtigungen für den "Oberordner" (nicht für die Dateien darin) nur die Berechtigungen "Ordner durchsuchen / Daten lesen", "Berechtigungen lesen" und "Attribute lesen" erteilen. Dann kann man durch den Ordner zu dem Unterordner navigieren.
Die Frage hätte sich dann aber beantwortet: es gibt kein System welches das so vorsieht und welches man wie die ABEs einfach nur aktivieren müsste.
Schönes UFP-Logo übrigens ;)
Vielen Dank! Super!
Aber was meinst du genau mit UFP-Logo? ;)
Zitat von @JoeDevlin:
Symbolische Links heben ja keine NTFS-Berechtigungen auf.
Hier muss einfach eine AD-Gruppe auf dem übergeordneten Ordner Berechtigungen für "Ordnerinhalt auflisten" (Anwenden auf: nur diesen Ordner) erhalten und in den Unterordnern dann die entsprechende Berechtigung gesetzt werden.
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Symbolische Links heben ja keine NTFS-Berechtigungen auf.
Hier muss einfach eine AD-Gruppe auf dem übergeordneten Ordner Berechtigungen für "Ordnerinhalt auflisten" (Anwenden auf: nur diesen Ordner) erhalten und in den Unterordnern dann die entsprechende Berechtigung gesetzt werden.
Da dies einen Ordner betrifft und einen User, würde ich diese Ausnahme tatsächlich auf Usereben machen und keine neue AD-Gruppe erstellen.
Aber so in etwa habe ich das gedacht und zum Schluß gekommen daß solche Ausnahmen nach wie vor mit manueller Arbeit verbunden sind.
Also sollte man es dringend so weit wie möglich verhindern. Wenn es mal nicht geht dann in den sauren Apfel beissen und Ausnahmen erstellen...
Zitat von @Uschade:
Wir lösen das bei uns mit sog. Power-Usern. Das sind in jeder Abteilung eigens intensiv geschulte User, die die Berechtigung haben, in "ihrem" Bereich neuen Mitarbeitern Lese/Schreibrechte für diverse Unterordner einzuräumen. Diese User sind Namnetlich im Unternehmen bekannt und wenn es darum geht, Berechtigungen in dieser Form einzurichten, wird das schriftlich beantragt. So bleibt alles nachvollziehbar/nachweisbar und es gibt bei diversen Audits keine Findings.
Für uns mach das Sinn, weil viele Dinge einfach auc Projektübergreifend stattfinden und es durchaus sein kann, dass mal ein MA aus Projekt 1 in einen bestimmten Bereich bei Projekt 2 Einblick bekommen soll, weil er hier auch zuarbeiten soll.
So sind wir in der IT aus der Nummer raus, ständig für Max und Schorsch und hast du nicht gesehen irgendwelche Berechtigungen verändern/anlegen/löschen zu müssen.
Vielleicht mach so eine Lösung/so ein Ansatz für euch ja uch Sinn?
Grüße
Uwe
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Zitat von @dertowa:
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Das kommt mir sehr bekannt vor. Das können unsere Mädels hier auch sehr gut. Dafür haben wir dann auch neue Ordner, in denen dann uralte Dateien liegen.Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Wir lösen das bei uns mit sog. Power-Usern. Das sind in jeder Abteilung eigens intensiv geschulte User, die die Berechtigung haben, in "ihrem" Bereich neuen Mitarbeitern Lese/Schreibrechte für diverse Unterordner einzuräumen. Diese User sind Namnetlich im Unternehmen bekannt und wenn es darum geht, Berechtigungen in dieser Form einzurichten, wird das schriftlich beantragt. So bleibt alles nachvollziehbar/nachweisbar und es gibt bei diversen Audits keine Findings.
Für uns mach das Sinn, weil viele Dinge einfach auc Projektübergreifend stattfinden und es durchaus sein kann, dass mal ein MA aus Projekt 1 in einen bestimmten Bereich bei Projekt 2 Einblick bekommen soll, weil er hier auch zuarbeiten soll.
So sind wir in der IT aus der Nummer raus, ständig für Max und Schorsch und hast du nicht gesehen irgendwelche Berechtigungen verändern/anlegen/löschen zu müssen.
Vielleicht mach so eine Lösung/so ein Ansatz für euch ja uch Sinn?
Grüße
Uwe
Die Idee müsste ich erstmal ein paar Tage lang 'darüber schlafen' und erörtern wie was wo? Kann man diese 'Verwalter' so konfigurieren damit sie nur deren Sicherheitsgruppen verwalten können oder sehen sie alle anderen auch? Wenn Ersteres dann wäre die Idee gar nicht mal so verkehrt. Wenn Letzteres: dann ist dies ein NoGo bei uns...
United Federation of Planets - Logo
🖖
Das schöne ist, man kann sich aus allen Möglichkeiten die Rosinen rauspicken.
Wir haben es mit sowohl einen Projekt-Laufwerk als auch mit einem Abteilung/Gruppen-Laufwerk gelöst.
Neues Projekt = neuer Ordner auf dem Projekt-Laufwerk.
auf den Ordner Projekt1 werden zwei Sicherheitsgruppen Berechtigt: projekt1_read + projekt1_modify (mit entsprechenden NTFS Settings)
Darin sind die entsprechenden User enthalten.
Beide AD-Gruppen sind Mitgleid der Übergerodnete Sicherheitgruppe "Projektlaufwerk_read".
Per GPO wird das Laufwerk verbunden, sobald man Mitglied in der Gruppe "Projektlaufwerk_read" ist. Und darin ist man schließlich Mitgleid sobald man auf irgendein Projekt per _read oder _modify darf.
Auf dem Projektlaufwerk gibt es keine Unterberechtigungen
Auf dem Abteilungslaufwerk gleiches Prinzip, nur mit dem Unterschied, dass die Berechtigungen tiefer verschachtelt werden.
Ist dies der Fall, so darf ein User nicht in der übergeordneten modify Gruppe sein um nicht ungewollt zusätzliche Ordner anzulegen.
ABE aktiv.
Damit bekommt man ein Laufwerk nur gemappt wenn man eine Berechtigung hat, und sieht auch nur die Ordner die man soll
Wir haben es mit sowohl einen Projekt-Laufwerk als auch mit einem Abteilung/Gruppen-Laufwerk gelöst.
Neues Projekt = neuer Ordner auf dem Projekt-Laufwerk.
auf den Ordner Projekt1 werden zwei Sicherheitsgruppen Berechtigt: projekt1_read + projekt1_modify (mit entsprechenden NTFS Settings)
Darin sind die entsprechenden User enthalten.
Beide AD-Gruppen sind Mitgleid der Übergerodnete Sicherheitgruppe "Projektlaufwerk_read".
Per GPO wird das Laufwerk verbunden, sobald man Mitglied in der Gruppe "Projektlaufwerk_read" ist. Und darin ist man schließlich Mitgleid sobald man auf irgendein Projekt per _read oder _modify darf.
Auf dem Projektlaufwerk gibt es keine Unterberechtigungen
Auf dem Abteilungslaufwerk gleiches Prinzip, nur mit dem Unterschied, dass die Berechtigungen tiefer verschachtelt werden.
Ist dies der Fall, so darf ein User nicht in der übergeordneten modify Gruppe sein um nicht ungewollt zusätzliche Ordner anzulegen.
ABE aktiv.
Damit bekommt man ein Laufwerk nur gemappt wenn man eine Berechtigung hat, und sieht auch nur die Ordner die man soll
Aber die Gruppenordner sind dann in der Struktur des Firmenorganigrams vorhanden und das Laufwerksmapping mappt auf die einzelnen Shares der Gruppe?
Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen' (GF -> Teams -> Teamleiter der einzelnen Teams-> die Koordinatoren des Teams -> dessen SubKoordinatoren (sofern vorhanden) -> Gruppenleiter -> Gruppen
So haben wir es bisher. Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
Ausserdem war der Grundtenor damals wo ich das zum ersten mal erörter habe hier und in einem anderen Forum daß es maximal 2-3 Ebene geben sollte und alles andere gesponnen wäre.
Da wir jetzt einen neuen Fileserver benötigen und migrieren werden, will ich die Gelegenheit nutzen alles zu korrigieren.
Nur habe ich Sorge irgendwas nicht beachtet zu haben und auf den Holzweg zu geraten.
Ich würde es jetzt am liebsten so durchziehen wie ich es im EP beschrieben habe. Aber Meinungen von anderen Administratoren sind bei mir immer herzlich willkommen damit ich mein Vorhaben entweder bestätigt sehe oder Korrekturen durchführen kann bevor es zu spät ist.
Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen' (GF -> Teams -> Teamleiter der einzelnen Teams-> die Koordinatoren des Teams -> dessen SubKoordinatoren (sofern vorhanden) -> Gruppenleiter -> Gruppen
So haben wir es bisher. Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
Ausserdem war der Grundtenor damals wo ich das zum ersten mal erörter habe hier und in einem anderen Forum daß es maximal 2-3 Ebene geben sollte und alles andere gesponnen wäre.
Da wir jetzt einen neuen Fileserver benötigen und migrieren werden, will ich die Gelegenheit nutzen alles zu korrigieren.
Nur habe ich Sorge irgendwas nicht beachtet zu haben und auf den Holzweg zu geraten.
Ich würde es jetzt am liebsten so durchziehen wie ich es im EP beschrieben habe. Aber Meinungen von anderen Administratoren sind bei mir immer herzlich willkommen damit ich mein Vorhaben entweder bestätigt sehe oder Korrekturen durchführen kann bevor es zu spät ist.
Zitat von @kaineanung:
Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen'
Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
... logisch bei 7 Ebenen, und das wird auch so bleiben wenn ihr weiterhin diese Methode beibehaltet.Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen'
Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
Korrekturen durchführen kann bevor es zu spät ist.
... sicher ist nur die Veränderung.moderne Administrator
- PDM System ersetzt den klassichen File-Server
- Keyuser übernehmen Datenverantwortung und -berechtigung ("Kauffrau/-mann für Büromanagement" nennt sich das heute)
