Fileserverstruktur mit wenig administrativen Aufwand

Mitglied: ben1300
Mahlzeit !


aktuell haben wir im Netzwerk einen sehr durchwachsenen Fileserver, welchen ich damals so übernommen habe und mir mittlerweile zu viel wird, bezüglich administrative Verwaltung. Wir haben hier überwiegend Ordner, welche nur auf User-Ebene berechtigt wurde. Absolut grausam.

Jetzt versuche ich mir aktuell einen neuen Plan zu erstellen, wie ich das Problem "beheben" kann.
Klar ist, das ich mit AD Gruppen arbeiten möchte, statt auf User-Ebene.

Hier eine simple Skizze:

unbenannt

Wenn ich solche eine simple Struktur hätte, würde ich dafür einfach eine AD Gruppe anlegen mit den Usern A - D.
Vererben auf Unterordner und fertig.

Aber was würdet ihr machen, wenn auf Unterordner A nur User A Zugriff haben soll?
Unterordner A aus der Vererbung entfernen und dann nur User A Zugriff ermöglich ?
Und was ist, wenn es einen User Z gibt, welcher nicht in der AD_Gruppe_1 ist, aber Zugriff auf den Unterordner C haben soll?

Wie würdet ihr das Problem lösen?
Ggf. eine anderer Ordnerstruktur ?

Freue mich auf eure Vorschläge !

Content-Key: 1313265499

Url: https://administrator.de/contentid/1313265499

Ausgedruckt am: 27.10.2021 um 08:10 Uhr

Mitglied: SlainteMhath
SlainteMhath 27.09.2021 um 12:50:14 Uhr
Goto Top
Moin,

als erstes solltest du mal loslaufen und feststellen wie gearbeitet wird, und danach dann dein Filesystem gestallten. Ggfs lässt sich "unterwegs" was optimieren. Generell kann man sich dabei grob am Originagram orientieren.

lg,
Slainte
Mitglied: StefanKittel
StefanKittel 27.09.2021 um 13:28:57 Uhr
Goto Top
Hallo,

und plane ein, dies alle 2 Jahre neu zu machen.
Die Leute speichern meist eh kreuz und quer..

Stefan
Mitglied: ukulele-7
ukulele-7 27.09.2021 um 16:55:24 Uhr
Goto Top
Dann muss der User Z entweder zusätzliche Berechtigungen auf den Pfad zu C erhalten oder besser auch hierfür gibt es eine Gruppe. Oder er wird Mitglied der bestehenden Gruppe.

Klar ist möglichst flach halten. Bei mir gibt es in einer Tiefe von 2 Ordnern eigentlich schon keine Rechteabweichungen mehr. Wenn die AD_Gruppe_1 jetzt nicht mit der Benutzergruppe für den Pfad identisch ist dann gibt es eben eine eigene Gruppe für den Pfad und die hat AD_Gruppe_1 + Z als Mitglieder.
Mitglied: dertowa
dertowa 28.09.2021 aktualisiert um 09:22:47 Uhr
Goto Top
Hey,
du solltest grundlegend erstmal überlegen wie die Struktur sein soll, in Abstimmung mit den Abteilungen.
Zudem sehe ich es immer kritisch, wenn wie in deiner Skizze bspw. Gruppe A überall Zugriff hat.
Auch der Chef braucht nicht überall dran und hat sich genauso wie auch der IT-Admin an gewisse Dinge zu halten.

Zudem sollte man unterscheiden zwischen Lese- & Schreibrecht, letztere verursachen die Probleme mit den Verschlüsselungstrojanern. ;)

Zitat von @StefanKittel:
und plane ein, dies alle 2 Jahre neu zu machen.
Die Leute speichern meist eh kreuz und quer..
Schreibrechte einschränken, gezielte Arbeitsbereiche schaffen und viel Schulung. :D
Mitglied: StefanKittel
StefanKittel 28.09.2021 um 09:30:48 Uhr
Goto Top
Zitat von @dertowa:
Schreibrechte einschränken, gezielte Arbeitsbereiche schaffen und viel Schulung. :D
Die notwendigen Maßnahmen sind per Gesetz verboten...
Mitglied: SomebodyToLove
SomebodyToLove 28.09.2021 um 10:42:15 Uhr
Goto Top
Moin,

ich verwende für meine Filestruktur nur Gruppen diese Gruppen befinden sich auch in einer eigenen OU. Die Schreibrechte haben wir nicht noch einmal unterteilt, wer auf einen Ordner Berechtigt ist darf dort auch schreiben. Für Verschlüßelungstrojaner haben wir ein gesondertes Backup.

Bei einem Ordner haben wir auch deine oben genannten Probleme (Personaldaten), hier haben wir die Vererbung aufgeweicht für die erste ebene des Ordner und dann dafür noch einmal eigene Gruppen erstellt. Selbst wenn dort nur ein Benutzer drinnen ist kann jederzeit ein weiterer hinzugefügt oder ggf. ausgetauscht werden.

Persönlich fahre ich ganz gut damit, wir haben es neben Allgemeinen und Temporären Ordnern nach den Abteilungen Strukturiert. Dies sind dann auch erstmal die Standardberechtigungen für einen neuen Mitarbeiter.

Grüße
Somebody
Mitglied: StefanKittel
StefanKittel 28.09.2021 um 12:02:04 Uhr
Goto Top
Das hilft aber alles nicht, wenn unter Vertrieb auf einmal die Ordner Michael, Dirk und Philip auftauchen und jeder seinen Kram unsortiert da reinwirft.
Mitglied: dertowa
dertowa 28.09.2021 um 13:47:52 Uhr
Goto Top
Zitat von @StefanKittel:
Das hilft aber alles nicht, wenn unter Vertrieb auf einmal die Ordner Michael, Dirk und Philip auftauchen und jeder seinen Kram unsortiert da reinwirft.

Dann hilft nur die Ordner zu nehmen und in die persönlichen Verzeichnisse von Michael, Dirk und Philip zu migrieren, bis die Kollegen verstehen, dass ihre Namen nichts im allgemeinen Bereich zu suchen haben.
Mitglied: support-it
support-it 28.09.2021 aktualisiert um 16:08:31 Uhr
Goto Top
Es ist immer grausam, wenn man unterhalb eines Ordners abweichende NTFS-Rechte hat, da verlierst du recht schnell die Übersicht.
Daher würde ich auch empfehlen, das nicht alleine zu entscheiden, sondern das die Mitarbeiter/Abteilung, je nachdem wie groß die Struktur ist, überlegen zu lassen und dann administrativ umzusetzen. Die Struktur in jedem Fall flach halten.

Je nach Kunde unterscheiden wir nach Funktion, so bekommt das Rechnungswesen zb einen eigenen Ordner, wo die Gruppe "rechnungswesen" ändernd zugreifen darf.

Bei einer überschaubaren Anzahl an Freigaben erstellen wir aber auch mal "Freigabengruppen" zb. "Freigabe_Rechnungswesen" wo dann z.b. die Gruppe Rechnungswesen und Geschäftsführung Mitglied ist.

Alle User bekommen dann noch ihr eigenes Usershare gemappt für ihre eigenen Dateien, unabhängig der Funktionen und Freigaben. Und auf diese Freigabe auch nur der User Zugriff.

Eine chaotisch gewachsene Struktur wirst du aber auch nur sehr schwer "ordentlich" bekommen. Letzlich sind die User auch selbst verantwortlich, die Ordnung einzuhalten. Im Zweifel muss denen halt gesagt werden, dass persönliche Daten in einem allgemeinen Ordner nichts zu suchen haben und wenn die User ihre persönlichen Daten "für alle" bereitstellen...was will man da machen ;)

MfG
Mitglied: SomebodyToLove
SomebodyToLove 28.09.2021 um 17:22:17 Uhr
Goto Top
@StefanKittel

Das stimmt wohl, aber wir haben die Verantwortung der Datei Struktur in die Hände der Abteilungsleiter gelegt, diese erziehen ihre Mitarbeiter scheinbar einigermaßen gut und bis auf eine Abteilung welche nach dem System Chaos arbeitet klappt das auch alles ganz gut.
Wenn ich von der Chaos Abteilung eine File wiederherstellen soll oder sonstiges müssen die mir halt den genauen Pfad nennen, sonst finde ich da nichts :) face-smile
Mittlerweile habe ich sie so oft auf ihren verhau hin gewiesen das sie sich gerade eine neue Filestruktur erarbeiten.

Grüße
Somebody
Mitglied: Th0mKa
Th0mKa 28.09.2021 um 19:09:09 Uhr
Goto Top
Zitat von @ben1300:
Und was ist, wenn es einen User Z gibt, welcher nicht in der AD_Gruppe_1 ist, aber Zugriff auf den Unterordner C haben soll?

Wie würdet ihr das Problem lösen?
Ggf. eine anderer Ordnerstruktur ?

Freue mich auf eure Vorschläge !

Ich würde Berechtigungen administrativ nur auf dem obersten Ordner erstellen, alles darunter kann der Folder Owner selbst machen wenn er dazu die Zeit hat. Was dann noch abweicht bekommt einen Projektordner in dessen Gruppe man dann auch Nutzer unterschiedlicher Abteilungen oder Teams mischen kann.

/Thomas
Mitglied: SlainteMhath
SlainteMhath 29.09.2021 um 09:05:19 Uhr
Goto Top
alles darunter kann der Folder Owner selbst machen
Oweh.... ne, da hätte ich Angst vor :D
Mitglied: ben1300
ben1300 29.09.2021 um 09:25:00 Uhr
Goto Top
Vielen Dank für eure Rückmeldung.
Werde eure Ratschläge berücksichtigen . danke !! :) face-smile
Mitglied: Th0mKa
Th0mKa 29.09.2021 um 11:49:46 Uhr
Goto Top
Zitat von @SlainteMhath:

alles darunter kann der Folder Owner selbst machen
Oweh.... ne, da hätte ich Angst vor :D

Die meisten machen da eh nichts weil es zu anstrengend ist wenn sie ihre Anforderungen mit "Kreuzundquer"-Berechtigungen selber umsetzen müssen.

/Thomas
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server11 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Netzwerktool mit IP-SettingsServer2503Vor 1 TagFrageNetzwerkmanagement4 Kommentare

Hallo zusammen, ich meine aus meiner Schulzeit zu wissen, dass es ein Tool gibt, mit dem ich ein Netzwerkplan (Clients, Switches, Router etc.) samt IP-Einstellungen ...