145971
Goto Top

Fileserverstruktur mit wenig administrativen Aufwand

Mahlzeit !


aktuell haben wir im Netzwerk einen sehr durchwachsenen Fileserver, welchen ich damals so übernommen habe und mir mittlerweile zu viel wird, bezüglich administrative Verwaltung. Wir haben hier überwiegend Ordner, welche nur auf User-Ebene berechtigt wurde. Absolut grausam.

Jetzt versuche ich mir aktuell einen neuen Plan zu erstellen, wie ich das Problem "beheben" kann.
Klar ist, das ich mit AD Gruppen arbeiten möchte, statt auf User-Ebene.

Hier eine simple Skizze:

unbenannt

Wenn ich solche eine simple Struktur hätte, würde ich dafür einfach eine AD Gruppe anlegen mit den Usern A - D.
Vererben auf Unterordner und fertig.

Aber was würdet ihr machen, wenn auf Unterordner A nur User A Zugriff haben soll?
Unterordner A aus der Vererbung entfernen und dann nur User A Zugriff ermöglich ?
Und was ist, wenn es einen User Z gibt, welcher nicht in der AD_Gruppe_1 ist, aber Zugriff auf den Unterordner C haben soll?

Wie würdet ihr das Problem lösen?
Ggf. eine anderer Ordnerstruktur ?

Freue mich auf eure Vorschläge !

Content-Key: 1313265499

Url: https://administrator.de/contentid/1313265499

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 27.09.2021 um 12:50:14 Uhr
Goto Top
Moin,

als erstes solltest du mal loslaufen und feststellen wie gearbeitet wird, und danach dann dein Filesystem gestallten. Ggfs lässt sich "unterwegs" was optimieren. Generell kann man sich dabei grob am Originagram orientieren.

lg,
Slainte
Mitglied: StefanKittel
StefanKittel 27.09.2021 um 13:28:57 Uhr
Goto Top
Hallo,

und plane ein, dies alle 2 Jahre neu zu machen.
Die Leute speichern meist eh kreuz und quer..

Stefan
Mitglied: ukulele-7
ukulele-7 27.09.2021 um 16:55:24 Uhr
Goto Top
Dann muss der User Z entweder zusätzliche Berechtigungen auf den Pfad zu C erhalten oder besser auch hierfür gibt es eine Gruppe. Oder er wird Mitglied der bestehenden Gruppe.

Klar ist möglichst flach halten. Bei mir gibt es in einer Tiefe von 2 Ordnern eigentlich schon keine Rechteabweichungen mehr. Wenn die AD_Gruppe_1 jetzt nicht mit der Benutzergruppe für den Pfad identisch ist dann gibt es eben eine eigene Gruppe für den Pfad und die hat AD_Gruppe_1 + Z als Mitglieder.
Mitglied: dertowa
dertowa 28.09.2021 aktualisiert um 09:22:47 Uhr
Goto Top
Hey,
du solltest grundlegend erstmal überlegen wie die Struktur sein soll, in Abstimmung mit den Abteilungen.
Zudem sehe ich es immer kritisch, wenn wie in deiner Skizze bspw. Gruppe A überall Zugriff hat.
Auch der Chef braucht nicht überall dran und hat sich genauso wie auch der IT-Admin an gewisse Dinge zu halten.

Zudem sollte man unterscheiden zwischen Lese- & Schreibrecht, letztere verursachen die Probleme mit den Verschlüsselungstrojanern. ;)

Zitat von @StefanKittel:
und plane ein, dies alle 2 Jahre neu zu machen.
Die Leute speichern meist eh kreuz und quer..
Schreibrechte einschränken, gezielte Arbeitsbereiche schaffen und viel Schulung. :D
Mitglied: StefanKittel
StefanKittel 28.09.2021 um 09:30:48 Uhr
Goto Top
Zitat von @dertowa:
Schreibrechte einschränken, gezielte Arbeitsbereiche schaffen und viel Schulung. :D
Die notwendigen Maßnahmen sind per Gesetz verboten...
Mitglied: SomebodyToLove
SomebodyToLove 28.09.2021 um 10:42:15 Uhr
Goto Top
Moin,

ich verwende für meine Filestruktur nur Gruppen diese Gruppen befinden sich auch in einer eigenen OU. Die Schreibrechte haben wir nicht noch einmal unterteilt, wer auf einen Ordner Berechtigt ist darf dort auch schreiben. Für Verschlüßelungstrojaner haben wir ein gesondertes Backup.

Bei einem Ordner haben wir auch deine oben genannten Probleme (Personaldaten), hier haben wir die Vererbung aufgeweicht für die erste ebene des Ordner und dann dafür noch einmal eigene Gruppen erstellt. Selbst wenn dort nur ein Benutzer drinnen ist kann jederzeit ein weiterer hinzugefügt oder ggf. ausgetauscht werden.

Persönlich fahre ich ganz gut damit, wir haben es neben Allgemeinen und Temporären Ordnern nach den Abteilungen Strukturiert. Dies sind dann auch erstmal die Standardberechtigungen für einen neuen Mitarbeiter.

Grüße
Somebody
Mitglied: StefanKittel
StefanKittel 28.09.2021 um 12:02:04 Uhr
Goto Top
Das hilft aber alles nicht, wenn unter Vertrieb auf einmal die Ordner Michael, Dirk und Philip auftauchen und jeder seinen Kram unsortiert da reinwirft.
Mitglied: dertowa
dertowa 28.09.2021 um 13:47:52 Uhr
Goto Top
Zitat von @StefanKittel:
Das hilft aber alles nicht, wenn unter Vertrieb auf einmal die Ordner Michael, Dirk und Philip auftauchen und jeder seinen Kram unsortiert da reinwirft.

Dann hilft nur die Ordner zu nehmen und in die persönlichen Verzeichnisse von Michael, Dirk und Philip zu migrieren, bis die Kollegen verstehen, dass ihre Namen nichts im allgemeinen Bereich zu suchen haben.
Mitglied: support-m
support-m 28.09.2021 aktualisiert um 16:08:31 Uhr
Goto Top
Es ist immer grausam, wenn man unterhalb eines Ordners abweichende NTFS-Rechte hat, da verlierst du recht schnell die Übersicht.
Daher würde ich auch empfehlen, das nicht alleine zu entscheiden, sondern das die Mitarbeiter/Abteilung, je nachdem wie groß die Struktur ist, überlegen zu lassen und dann administrativ umzusetzen. Die Struktur in jedem Fall flach halten.

Je nach Kunde unterscheiden wir nach Funktion, so bekommt das Rechnungswesen zb einen eigenen Ordner, wo die Gruppe "rechnungswesen" ändernd zugreifen darf.

Bei einer überschaubaren Anzahl an Freigaben erstellen wir aber auch mal "Freigabengruppen" zb. "Freigabe_Rechnungswesen" wo dann z.b. die Gruppe Rechnungswesen und Geschäftsführung Mitglied ist.

Alle User bekommen dann noch ihr eigenes Usershare gemappt für ihre eigenen Dateien, unabhängig der Funktionen und Freigaben. Und auf diese Freigabe auch nur der User Zugriff.

Eine chaotisch gewachsene Struktur wirst du aber auch nur sehr schwer "ordentlich" bekommen. Letzlich sind die User auch selbst verantwortlich, die Ordnung einzuhalten. Im Zweifel muss denen halt gesagt werden, dass persönliche Daten in einem allgemeinen Ordner nichts zu suchen haben und wenn die User ihre persönlichen Daten "für alle" bereitstellen...was will man da machen ;)

MfG
Mitglied: SomebodyToLove
SomebodyToLove 28.09.2021 um 17:22:17 Uhr
Goto Top
@StefanKittel

Das stimmt wohl, aber wir haben die Verantwortung der Datei Struktur in die Hände der Abteilungsleiter gelegt, diese erziehen ihre Mitarbeiter scheinbar einigermaßen gut und bis auf eine Abteilung welche nach dem System Chaos arbeitet klappt das auch alles ganz gut.
Wenn ich von der Chaos Abteilung eine File wiederherstellen soll oder sonstiges müssen die mir halt den genauen Pfad nennen, sonst finde ich da nichts face-smile
Mittlerweile habe ich sie so oft auf ihren verhau hin gewiesen das sie sich gerade eine neue Filestruktur erarbeiten.

Grüße
Somebody
Mitglied: Th0mKa
Th0mKa 28.09.2021 um 19:09:09 Uhr
Goto Top
Zitat von @145971:
Und was ist, wenn es einen User Z gibt, welcher nicht in der AD_Gruppe_1 ist, aber Zugriff auf den Unterordner C haben soll?

Wie würdet ihr das Problem lösen?
Ggf. eine anderer Ordnerstruktur ?

Freue mich auf eure Vorschläge !

Ich würde Berechtigungen administrativ nur auf dem obersten Ordner erstellen, alles darunter kann der Folder Owner selbst machen wenn er dazu die Zeit hat. Was dann noch abweicht bekommt einen Projektordner in dessen Gruppe man dann auch Nutzer unterschiedlicher Abteilungen oder Teams mischen kann.

/Thomas
Mitglied: SlainteMhath
SlainteMhath 29.09.2021 um 09:05:19 Uhr
Goto Top
alles darunter kann der Folder Owner selbst machen
Oweh.... ne, da hätte ich Angst vor :D
Mitglied: 145971
145971 29.09.2021 um 09:25:00 Uhr
Goto Top
Vielen Dank für eure Rückmeldung.
Werde eure Ratschläge berücksichtigen . danke !! face-smile
Mitglied: Th0mKa
Th0mKa 29.09.2021 um 11:49:46 Uhr
Goto Top
Zitat von @SlainteMhath:

alles darunter kann der Folder Owner selbst machen
Oweh.... ne, da hätte ich Angst vor :D

Die meisten machen da eh nichts weil es zu anstrengend ist wenn sie ihre Anforderungen mit "Kreuzundquer"-Berechtigungen selber umsetzen müssen.

/Thomas