Fileserver-Struktur: Wie macht ihr das mit den (zusätzlichen) Berechtigungen und überhaupt mit der Struktur?
Hallo Leute,
wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16.
Ich soll ein Konzept erarbeiten und dann sehen wir weiter.
Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist.
Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde).
Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte.
Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist).
In Projekten bzw. deren Projektordnern sowieso.
Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum).
So, soweit so gut.
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können.
Wie macht ihr das? Wie löst man das am Besten?
IST-Zustand:
Root
- Team 1
- - Teamleiter 1
- - - Koordinator 1 Team 1
- - - - Gruppenleiter 1 Team 1
- - - - - Gruppe 1 Team 1
- - - - Gruppenleiter 2 Team 1
- - - - - Gruppe 2 Team 1
- - - Koordinator 2 Team 1
- - - - Gruppenleiter 3 Team 1
- - - - - Gruppe 3 Team 1
- Team 2
- - Teamleiter 2
- - - Koordinator 1 Team 2
- - - - Gruppenleiter 1 Team 2
- - - - - Gruppe 1 Team 2
- Team 3
- - Teamleiter 3
- - - Koordinator 1 Team 3
- - - - Gruppenleiter 1 Team 3
- - - - - Gruppe 1 Team 3
- - - Koordinator 2 Team 3
- - - - Gruppenleiter 2 Team 3
- - - - - Gruppe 2 Team 3
usw..
Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind.
Davon wollen wir, auf die Empfehlung diverser User von administrator.de und eines anderen Borads, wegkommen.
Angedacht ist folgendes:
- root
- - Team 1
- - - Teamleiter 1
- - - Koordinator 1 Team 1
- - - Koordinator 2 Team 1
- - - Gruppenleiter 1 Team 1
- - - Gruppenleiter 2 Team 1
- - - Gruppenleiter 3 Team 1
- - - Gruppe 1 Team 1
- - - Gruppe 2 Team 1
- - - Gruppe 3 Team 1
- - Team 2
- - - Teamleiter 2
- - - Koordinator 1 Team 2
- - - Gruppenleiter 1 Team 2
- - - Gruppe 1 Team 2
- - Team 3
- - - Teamleiter 3
- - - Koordinator 1 Team 3
- - - Koordinator 2 Team 3
- - - Gruppenleiter 1 Team 3
- - - Gruppenleiter 2 Team 3
- - - Gruppe 1 Team 3
- - - Gruppe 2 Team 3
- - Projekte
- - - Projekt 1
- - - Projekt 2
- - - Projekt 3
Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen).
So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus administrator.de und einem anderen Board verstanden hatte.
Wenn ich auf dem Holzweg bin dann bitte einschreiten...
Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar).
Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben.
ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen?
Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung?
Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar...
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann.
Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!
wir sind gerade dabei die Struktur unserer Fileserver-Architektur zu ändern im Zuge der Migration von W2K3 auf W2K16.
Ich soll ein Konzept erarbeiten und dann sehen wir weiter.
Die Ordnerstruktur auf dem Fileserver ist der Firmenhierarchie nachempfunden. Dies ist so historisch bedingt weil vor vielen Jahren es noch überschaubar war und man konnte es leichter 'handeln' als jetzt. Daher ist das dann immer mehr gewachsen und es ist ausgeartet. Nach langem Suchen und intensiver Informationsbeschaffung kam ich zum Schluß: das wird so nicht empfohlen und man sollte es lieber 'Projektbasierend' gestalten. Max. 2-3 Ebenen und nicht starr an Teams, Gruppen und der Gleichen orientieren wie so eine Firma aufgebaut ist.
Ok, habe ich verstanden. Alles wird zu Projekten, die Projektordner haben eine Sicherheitsgruppe in der andere Gruppen oder Userobjekte enthalten sind und der 'Einstiegspunkt' ist eine Freigabe die für alle gilt (bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde).
Wenn dies NICHT das gängige Konzept ist dann bitte hier einschreiten. Ich habe vor einigen Monaten hier und einem anderne Forum diesbezüglich mich beraten lassen und das ist dabei herausgekommen. Ich gehe davon aus das dies so der durschschnittliche Standard darstellt wenn ich halbwegs alles richtig verstanden hatte.
Auch bin ich weg von haufenweise Berechtigungen auf der NTFS-Ebene zu setzen sondern die 'wer darf und wer nicht' der AD zu überlassen (Verkettung der Sicherheitsgruppen -> Koordinatorgruppe ist Mitglied der Teamleitergruppe, Teamleitergruppe ist Mitglied der Teamgruppe und auf NTFS-Ebene gibt es dann eine Sicherheitsgruppe die auf ihrem Ordner berechtigt ist).
In Projekten bzw. deren Projektordnern sowieso.
Nochmals: wenn ich mit diesem Konzept auf dem Holzweg bin, dann bitte ich um neue und bessere Konzepte bzw. Meinungen. Ich weiß nur das eine Firmen-Orninagram auf der Fileserver nicht wünschenswert ist (so der Tenor hier und im anderen Forum).
So, soweit so gut.
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Mir scheint das Konzept hier nicht ganz aufzugehen. Denn wir haben ein Projekt 'VERTRIEBSDATEN' und dort diverse Unterprojekte. Jetzt soll eine Person, die nicht Mitglied der Sicherheitsgruppe 'VERTRIEBSDATEN' ist, aber in einem der Unterordner (die als Unterprojekte bezeichnet werden können) lesend zugreifen können.
Wie macht ihr das? Wie löst man das am Besten?
IST-Zustand:
Root
- Team 1
- - Teamleiter 1
- - - Koordinator 1 Team 1
- - - - Gruppenleiter 1 Team 1
- - - - - Gruppe 1 Team 1
- - - - Gruppenleiter 2 Team 1
- - - - - Gruppe 2 Team 1
- - - Koordinator 2 Team 1
- - - - Gruppenleiter 3 Team 1
- - - - - Gruppe 3 Team 1
- Team 2
- - Teamleiter 2
- - - Koordinator 1 Team 2
- - - - Gruppenleiter 1 Team 2
- - - - - Gruppe 1 Team 2
- Team 3
- - Teamleiter 3
- - - Koordinator 1 Team 3
- - - - Gruppenleiter 1 Team 3
- - - - - Gruppe 1 Team 3
- - - Koordinator 2 Team 3
- - - - Gruppenleiter 2 Team 3
- - - - - Gruppe 2 Team 3
usw..
Jeder dieser Order hat eine Freigabe und dient als Mappings-Einstiegpunkt der einzelnen User die in den entsprechenden Sicherheitsgruppen sind.
Davon wollen wir, auf die Empfehlung diverser User von administrator.de und eines anderen Borads, wegkommen.
Angedacht ist folgendes:
- root
- - Team 1
- - - Teamleiter 1
- - - Koordinator 1 Team 1
- - - Koordinator 2 Team 1
- - - Gruppenleiter 1 Team 1
- - - Gruppenleiter 2 Team 1
- - - Gruppenleiter 3 Team 1
- - - Gruppe 1 Team 1
- - - Gruppe 2 Team 1
- - - Gruppe 3 Team 1
- - Team 2
- - - Teamleiter 2
- - - Koordinator 1 Team 2
- - - Gruppenleiter 1 Team 2
- - - Gruppe 1 Team 2
- - Team 3
- - - Teamleiter 3
- - - Koordinator 1 Team 3
- - - Koordinator 2 Team 3
- - - Gruppenleiter 1 Team 3
- - - Gruppenleiter 2 Team 3
- - - Gruppe 1 Team 3
- - - Gruppe 2 Team 3
- - Projekte
- - - Projekt 1
- - - Projekt 2
- - - Projekt 3
Somit wird alles fast ganz flach, jeder wird nach root gemappt und sieht nur die Ordner auf die er berechtigt ist und muss sich durchklicken (was ja bei max. 2 Unterordner kein Problem darstellen sollte). Auch der Schwenk hin zu Projekten statt zu Gruppenordnern sieht man hier. Klar soll jede Gruppe auch ein Ordner haben für Daten der Gruppenbelange, aber das wird relativ wenig und alles verlagert sich auf die Projekt-Ordner (z.B. Vertriebsdaten wird ein Projekt mit eigener Sicherheitsgruppe auf der AD in denen dann die Mitglieder bestimmt werden. Sei es einzelne User oder ganze Gruppen).
So, das nochmals bildlich dargestellt wie ich das damals von Foristen aus administrator.de und einem anderen Board verstanden hatte.
Wenn ich auf dem Holzweg bin dann bitte einschreiten...
Ich habe nun in einer Testumgebung das alles so nachgebildet und es scheint echt gut zu funktionieren und es ist viel einfacher zu managen. Vor allem in den Projekten können die Leute aus verschiedenen Firmengruppen nun teilhaben was sich bisher als extrem schwierig gestaltet hat (Ausnahmen bilden und Leuten mühselig Rechte auf der NTFS-Ebene vergeben daß sie sich a) durchklicken können bis zum entsprechenden Ordner und b) dort separat Berechtigungen hatten -> wird mit der Zeit unübersichtlich und unhandlebar).
Jetzt einfach Mitglied der entsprechenden Sicherheitsgruppe (= Projektgruppe) werden und plötzlich sieht man es und kann teilhaben.
ABER, und das ist jetzt meine Frage, wie sieht es mit den Leuten aus die in Projekt 1 nichts sehen sollen, aber in einem Unterordner des Projektes (sozusagen das Unterprojekt 1) lesend zugreifen können sollen?
Muss ich dann in "Projekt 1-Ordner" dem User 'nur auflisten'-Berechtigung geben und dann auf dem Unterordener 'Unterprojekt 1' lesen-Berechtigung?
Das wird sich dann aber auch schnell als unüberschaubar heraustellen und schwer verwaltbar...
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Ich hoffe das mir jemand nun kurz vor der Ziellinie hilft damit das Migrationsprojekt des Fileservers nun umgesetzt werden kann.
Danke schon einmal im Voraus für eure Hilfe! Danke das ihr bisher überhaupt gelesen habt bei so viel Text!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 580198
Url: https://administrator.de/forum/fileserver-struktur-wie-macht-ihr-das-mit-den-zusaetzlichen-berechtigungen-und-ueberhaupt-mit-der-struktur-580198.html
Ausgedruckt am: 05.04.2025 um 07:04 Uhr
26 Kommentare
Neuester Kommentar
Hallo,
leider gilt hier, diese Struktur dürfte so spezifisch sein, dass man spezifisch wissen muss ,wer welcher Gruppe angehört um das praktikabel zu designen. Also solltest du dir dazu Gedanken machen (die meisten sind ja schon da, aber anscheinend nicht so Recht die Entscheidungsfreudigkeit (o.ä?)) bzw jemanden hin zu ziehen, der dir "am Objekt" sagen kann, was Sinn macht. So können wir mit Platzhaltern jonglieren, wie wir wollen, am Ende geht es ggf. Meilenweit am Ziel vorbei.
VG,
Christian
certifiedit.net
leider gilt hier, diese Struktur dürfte so spezifisch sein, dass man spezifisch wissen muss ,wer welcher Gruppe angehört um das praktikabel zu designen. Also solltest du dir dazu Gedanken machen (die meisten sind ja schon da, aber anscheinend nicht so Recht die Entscheidungsfreudigkeit (o.ä?)) bzw jemanden hin zu ziehen, der dir "am Objekt" sagen kann, was Sinn macht. So können wir mit Platzhaltern jonglieren, wie wir wollen, am Ende geht es ggf. Meilenweit am Ziel vorbei.
VG,
Christian
certifiedit.net
Zitat von @kaineanung:
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Aber eine andere Idee habe ich nicht. Somit die Frage: ist das so ok? Ist das so normal? Wie macht ihr das?
Hallo,
sehr umfangfreich notiert, da werden alte Erinnerungen wach.
Durch den Einsatz von einem Produktdatenmanagementsystem kann diese Thematik gelöst werden. Es mag sein das ausgebildete Informatiker sich (noch) mit der Datenverwaltung in diesem Detailgrad beschäftigen müssen, man kann es aber auch projektbezogen auf den Projektmanager abwälzen, innerhalb vom PDM-System.
Über kurz oder lang glaube ich hier wird ein Chaos entstehen, je nach Anzahl der Unterordner in Kombination mit den Rechten. Irgendwann benötigst du ein Audittool zur Kontrolle.
Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
Zitat von @kaineanung:
Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
↓↓↓Jetzt kommt aber die Frage die mich sozusagen als letzter 'möglicher Stolperstein' beschäftigt:
Es gibt immer Leute oder Gruppen die in bestimmten Ordnern nur lesend zugreifen sollen.
Somit kann ich diese Leute ja nicht der Projekt-Sicherheitsgruppe zuweisen denn die dürfen ja mehr.
Wie macht ihr daß das es überschaubar und verwaltbar bleibt?
Zitat von @nachgefragt:
Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
↓↓↓Ich hatte hier die Richtung gewechselt: Nicht die Abteilung, sondern die IT gibt hier die Vorgabe, in einer einmalig festgelegten flachen Struktur. So muss der Benutzer aufpassen wo er speichert, nicht die IT.
Zitat von @kaineanung:
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Entschuldigung. Irgendwie stehe ich wohl momentan auf dem Schlauch. Ich habe leider relativ wenig verstanden. Vor allem im letzten Satz.
Ich kenne das, auch wenn noch weitere Sonderwünsche (sicherlich) hinzukommen (werden), im Unterordner vom Unterordner vom Unterordner [...]; letztendlich nicht mehr zu verwalten. In dem Fall wieder auf flache Strukturen beharren, ausgenommen jemand hat Zeit für diesen (künftigen) Verwaltungsaufwand.
Meiner Meinung nach unübersichtlich
Aber bei dir sehen die Benutzer auch wirklich nur die Ordner auf diese sie auch Rechte haben, den Rest blendet es aus, richtig?
Wir regeln alles über Gruppen im AD und schreiben diese in die NTFS-Berechtigungen. Seit ein paar Jahren ist auch ABE aktiviert.

Lies dich Mal in "NTFS Berechtigung Konzept" bei Google. Oder im Englischen.
Eigentlich ist dazu alles gesagt.
Grundsätzlich können schreibende Gruppen in lesenden Gruppen sein und umgedreht.
ALLES wird über Gruppen gemacht, auch für ein User-Themen.
Es gibt keinen Vollzugriff, auch nicht für (normale) Admins.
ABE wird gepflegt.
Teamänderungen, Vertretungen, Audits, alles in Sekundenschnelle berechtigt.
Eigentlich ist dazu alles gesagt.
Grundsätzlich können schreibende Gruppen in lesenden Gruppen sein und umgedreht.
ALLES wird über Gruppen gemacht, auch für ein User-Themen.
Es gibt keinen Vollzugriff, auch nicht für (normale) Admins.
ABE wird gepflegt.
Teamänderungen, Vertretungen, Audits, alles in Sekundenschnelle berechtigt.
Zitat von @kaineanung:
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
bisher hat jede Gruppe, jeder Teamleiter und jeder Koordinator seine eigene Freigabe gehabt welche dann als sein Netzlaufwerk gemappt wurde
Also als eine Art persönliches Laufwerk und das möchtest du jedem User nun nehmen?
Ich habe das Thema die letzten Monate auch durchgekaut und es wird beim nun kommenden Neuaufbau der Domain auch zum Tragen kommen, allerdings ist bei uns die Struktur nicht so easy.
Es geht auch nur noch mit einem Neuaufbau denn es gibt keine Struktur, manch einer hat unter einem Abteilungsordner seinen persönlichen Ordner angelegt, dann gab es mal eine Umfirmierung von GmbH zu GmbH & Co. KG da wurde dann ein neuer Firmenordner angelegt, 30% dahin verschoben alles andere ist im alten Ordner aktuell...
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Zudem gibt es so lange Pfade, dass die Begrenzung des Dateisystems uns beinahe täglich begrüßt.
Ich bin auf dem Punkt stehen geblieben dem User möglichst von lokaler Speicherung zu befreien (Ordnerumleitung), war zwingend nötig und ist vorab umgesetzt, dann musste eine Erklärung her in wie weit man firmenbezogenes, aber persönliches in eigenen Dokumenten speichert und wann man auf den Dateiserver zurückgreift.
Letztlich geht dann nichts über eine gute Struktur und ich denke die hast du hier schon gefunden, aber und das ist in meinen Augen wichtig (ABE hin oder her), die Mitarbeiter müssen mit ins Boot - nicht in der Entscheidungsfindung - sondern im Informationsfluss wie das Konzept zu bedienen ist.
Zitat von @dertowa:
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Das kommt mir sehr bekannt vor. Das können unsere Mädels hier auch sehr gut. Dafür haben wir dann auch neue Ordner, in denen dann uralte Dateien liegen.Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Andere Möglichkeit: In den NTFS-Berechtigungen für den "Oberordner" (nicht für die Dateien darin) nur die Berechtigungen "Ordner durchsuchen / Daten lesen", "Berechtigungen lesen" und "Attribute lesen" erteilen. Dann kann man durch den Ordner zu dem Unterordner navigieren.
Schönes UFP-Logo übrigens ;)
\\//_
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Zitat von @dertowa:
Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Das kommt mir sehr bekannt vor. Das können unsere Mädels hier auch sehr gut. Dafür haben wir dann auch neue Ordner, in denen dann uralte Dateien liegen.Mein größtes Highlight es gibt einen Ordner "Archiv" in diesem wird produktiv gearbeitet :D
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Stephan
Wir lösen das bei uns mit sog. Power-Usern. Das sind in jeder Abteilung eigens intensiv geschulte User, die die Berechtigung haben, in "ihrem" Bereich neuen Mitarbeitern Lese/Schreibrechte für diverse Unterordner einzuräumen. Diese User sind Namnetlich im Unternehmen bekannt und wenn es darum geht, Berechtigungen in dieser Form einzurichten, wird das schriftlich beantragt. So bleibt alles nachvollziehbar/nachweisbar und es gibt bei diversen Audits keine Findings.
Für uns mach das Sinn, weil viele Dinge einfach auc Projektübergreifend stattfinden und es durchaus sein kann, dass mal ein MA aus Projekt 1 in einen bestimmten Bereich bei Projekt 2 Einblick bekommen soll, weil er hier auch zuarbeiten soll.
So sind wir in der IT aus der Nummer raus, ständig für Max und Schorsch und hast du nicht gesehen irgendwelche Berechtigungen verändern/anlegen/löschen zu müssen.
Vielleicht mach so eine Lösung/so ein Ansatz für euch ja uch Sinn?
Grüße
Uwe
Zitat von @Dr.Bit:
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Also: Max soll in einem Unterordner Leseberechtigung haben aber nicht auf die Daten in dem Oberordner zugreifen können?
Dann ihm Leseberechtigung auf den Unterordner geben und einen Symbolischen Link auf einen Ordner (idealerweise einen in seinem Homeverzeichnis) legen.
Dann kann er drauf zugreifen und er muß den Ordner nicht im Verzeichnisbaum suchen.
Wenn er keinen Zugrif auf den Oberordner hat, könnter er sowieso nicht zum Unterordner navigieren.
Symbolische Links heben ja keine NTFS-Berechtigungen auf.
Hier muss einfach eine AD-Gruppe auf dem übergeordneten Ordner Berechtigungen für "Ordnerinhalt auflisten" (Anwenden auf: nur diesen Ordner) erhalten und in den Unterordnern dann die entsprechende Berechtigung gesetzt werden.
United Federation of Planets - Logo
🖖
Das schöne ist, man kann sich aus allen Möglichkeiten die Rosinen rauspicken.
Wir haben es mit sowohl einen Projekt-Laufwerk als auch mit einem Abteilung/Gruppen-Laufwerk gelöst.
Neues Projekt = neuer Ordner auf dem Projekt-Laufwerk.
auf den Ordner Projekt1 werden zwei Sicherheitsgruppen Berechtigt: projekt1_read + projekt1_modify (mit entsprechenden NTFS Settings)
Darin sind die entsprechenden User enthalten.
Beide AD-Gruppen sind Mitgleid der Übergerodnete Sicherheitgruppe "Projektlaufwerk_read".
Per GPO wird das Laufwerk verbunden, sobald man Mitglied in der Gruppe "Projektlaufwerk_read" ist. Und darin ist man schließlich Mitgleid sobald man auf irgendein Projekt per _read oder _modify darf.
Auf dem Projektlaufwerk gibt es keine Unterberechtigungen
Auf dem Abteilungslaufwerk gleiches Prinzip, nur mit dem Unterschied, dass die Berechtigungen tiefer verschachtelt werden.
Ist dies der Fall, so darf ein User nicht in der übergeordneten modify Gruppe sein um nicht ungewollt zusätzliche Ordner anzulegen.
ABE aktiv.
Damit bekommt man ein Laufwerk nur gemappt wenn man eine Berechtigung hat, und sieht auch nur die Ordner die man soll
Wir haben es mit sowohl einen Projekt-Laufwerk als auch mit einem Abteilung/Gruppen-Laufwerk gelöst.
Neues Projekt = neuer Ordner auf dem Projekt-Laufwerk.
auf den Ordner Projekt1 werden zwei Sicherheitsgruppen Berechtigt: projekt1_read + projekt1_modify (mit entsprechenden NTFS Settings)
Darin sind die entsprechenden User enthalten.
Beide AD-Gruppen sind Mitgleid der Übergerodnete Sicherheitgruppe "Projektlaufwerk_read".
Per GPO wird das Laufwerk verbunden, sobald man Mitglied in der Gruppe "Projektlaufwerk_read" ist. Und darin ist man schließlich Mitgleid sobald man auf irgendein Projekt per _read oder _modify darf.
Auf dem Projektlaufwerk gibt es keine Unterberechtigungen
Auf dem Abteilungslaufwerk gleiches Prinzip, nur mit dem Unterschied, dass die Berechtigungen tiefer verschachtelt werden.
Ist dies der Fall, so darf ein User nicht in der übergeordneten modify Gruppe sein um nicht ungewollt zusätzliche Ordner anzulegen.
ABE aktiv.
Damit bekommt man ein Laufwerk nur gemappt wenn man eine Berechtigung hat, und sieht auch nur die Ordner die man soll
Zitat von @kaineanung:
Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen'
Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
... logisch bei 7 Ebenen, und das wird auch so bleiben wenn ihr weiterhin diese Methode beibehaltet.Hat man viele verschachtelte Gruppen in der Firma, kann das bis 7 Ebenen 'runtergehen'
Ändert sich was in der Organisation der Firma (Gruppen werden umstrukturiert )-> riesen Aufwand für uns.
Korrekturen durchführen kann bevor es zu spät ist.
... sicher ist nur die Veränderung.moderne Administrator
- PDM System ersetzt den klassichen File-Server
- Keyuser übernehmen Datenverantwortung und -berechtigung ("Kauffrau/-mann für Büromanagement" nennt sich das heute)