A G dL P Richtig anwenden. Wie mach ich das ?

Mitglied: Windows10PRO

Windows10PRO (Level 1) - Jetzt verbinden

21.06.2017, aktualisiert 23:46 Uhr, 1346 Aufrufe, 11 Kommentare

Guten Abend,

ich verzweifle mittlerweile an einem wahrscheinlich relativ simplen Problem.
Vielleicht kann mir hier jemand helfen.

Auf einem Server (WIndows Server 2012 R2) mit AD gibt es folgende Globale und Lokale Gruppen und Ordner:

GG-H-Einkäufer
GG-H-Einkäufer-int
GG-H-Einkäufer-nat

LG-Einkauf-Ä
LG-Einkauf-L
LG-interntional-Ä
LG-international-L
LG-national-Ä
LG-national-L

Einkauf
->international
->national

Die Mitglieder der GG-H-Einkäufer sollen Ändern Zugriff über das Netzwerk und über NTFS Ebene auf den gesamten Ordner Einkauf inkl. Unterordner haben.
Die Mitglieder der GG-H-Einkäufer-int und GG-H-Einkäufer-nat sollen jeweils auf ihren Ordner (international oder national) Ändern Zugriff haben und auf den
anderen Ordner Lesen Zugriff.

Wie kann ich das mittels A G dL P Strategie richtig umsetzen ?

Vielen Dank für eure Hilfe

Tommy
Mitglied: Kraemer
22.06.2017 um 08:41 Uhr
Moin,

naja in dem du genau das umsetzt:

User and computer accounts are members of global groups that represent business roles, which are members of domain local groups that describe resource permissions or user rights assignments.

Gruß
Bitte warten ..
Mitglied: Windows10PRO
22.06.2017 um 09:09 Uhr
Hallo,

ich habe mittlerweile mehrere Versuche unternommen, allerdings habe immer entweder zuviel oder zuwenig Berechtigungen.

Hier mal mein Vorschlag:

Gruppe Jeder wurde bei Freigabe immer entfernt. Gruppe Benutzer wurde bei NTFS immer entfernt.

GG-H-Einkäufer -> LG-Einkauf-Ä
GG-H-Einkäufer-int -> LG-Einkauf-Ä
GG-H-Einkäufer-nat -> LG-Einkauf-Ä

GG-H-Einkäufer-int -> LG-Einkauf-L
GG-H-Einkäufer-nat -> LG-Einkauf-L

GG-H-Einkäufer-int -> LG-international-Ä
GG-H-Einkäufer-nat -> LG-national-Ä

Ordner | Freigabe | NTFS
Einkauf | LG-Einkauf-Ä | LG-Einkauf-Ä und LG-Einkauf-L
International | wird vererbt | LG-international-Ä
national | wird vererbt | LG-national-Ä

Sieht gut aus , funktioniert aber leider nicht
Bitte warten ..
Mitglied: Kraemer
22.06.2017 um 09:18 Uhr
1. Frage: Seit wann können Freigaben vererbt werden?
2. Frage: Wer ist Mitglied der GG's?
Bitte warten ..
Mitglied: Windows10PRO
22.06.2017 um 09:30 Uhr
1. Ist es nicht so, dass die Unterordner (National und international) automatisch auch die gleiche Freigabe erhalten, wie der Hauptordner Einkauf ?

2. Mitglieder GG-H-Einkäufer ist nur der Abteilungsleiter. Mitglieder der GG-H-Einkäufer-nat und GG-H-Einkäufer-int sind jeweils die Mitarbeiter aus Einkauf international und Einkauf national nicht aber der Abteilungsleiter.

Aufgabe: Der Abteilungsleiter soll Ändern Zugriff auf alle Ordner inkl. Unterordner haben. Die Mitarbeiter aus international und national sollen nur Ändern auf jeweils ihre Ordner haben und Lesen auf den jeweils anderen.
Bitte warten ..
Mitglied: Kraemer
22.06.2017, aktualisiert um 09:39 Uhr
Wie ich das machen würde:

GG-H-Einkäufer-int
Mitglieder: Jack, Donald, Francois

GG-H-Einkäufer-nat
Mitglieder: Hans, Otto, Ute

GG-H-Einkäufer-master
Mitglieder: Chef, Prokurist, IT

GG-H-Einkäufer
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer, nat, GG-H-Einkäufer-master

---

LG-Einkauf-RW
Mitglieder: GG-H-Einkäufer-master

LG-Einkauf-R
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer,

LG-interntional-RW
Mitglieder: GG-H-Einkäufer, GG-H-Einkäufer-int

LG-international-R
Mitglieder: GG-H-Einkäufer-nat

LG-national-RW
Mitglieder: GG-H-Einkäufer, GG-H-Einkäufer-nat

LG-national-R
Mitglieder: GG-H-Einkäufer-int

---
NTFS:
Ordner Einkauf
RW: LG-Einkauf-RW
R: LG-Einkauf-R

Ordner Einkauf>international
RW: LG-interntional-RW
R: LG-interntional-R

Ordner Einkauf>national
RW: LG-national-RW
R: LG-national-R

Vererbung zwischen Einkauf und Unterordner deaktivieren

---
Freigabe
Ordner Einkauf
Mitglieder: LG-Einkauf-RW > Vollzugriff
Bitte warten ..
Mitglied: Windows10PRO
22.06.2017 um 09:42 Uhr
Danke schonmal für deine Lösung.

Das Problem ist aber, dass ich mit den GG auskommen muss. Ich darf keine neuen erstellen
Bei den LG's bin ich frei. Die Admins habe ich immer mit Vollzugriff hinzugefügt (Freigabe und NTFS).
Bitte warten ..
Mitglied: Kraemer
22.06.2017 um 10:01 Uhr
OK. War eh nicht ideal - vor allem nicht so wie ich das wirklich machen würde. Vererbungen sollten nur unterbrochen werden, wenn es unbedingt notwendig ist.

Also so:

GG-H-Einkäufer-int
Mitglieder: Jack, Donald, Francois

GG-H-Einkäufer-nat
Mitglieder: Hans, Otto, Ute

GG-H-Einkäufer
Mitglieder: Abteilungsleiter

---
LG-Einkauf-Freigabe
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer-nat, GG-H-Einkäufer


LG-Einkauf-RW
Mitglieder: GG-H-Einkäufer

LG-Einkauf-R
Mitglieder: GG-H-Einkäufer-int, GG-H-Einkäufer,

LG-Einkauf-int-RW
Mitglieder: GG-H-Einkäufer-int

LG-Einkauf-nat-RW
Mitglieder: GG-H-Einkäufer-nat

---
NTFS:
Ordner Einkauf
RW: LG-Einkauf-RW
R: LG-Einkauf-R

Ordner Einkauf>international
RW: LG-interntional-RW

Ordner Einkauf>national
RW: LG-national-RW

---
Freigabe
Ordner Einkauf
Mitglieder: LG-Einkauf-Freigabe > Vollzugriff
Bitte warten ..
Mitglied: Windows10PRO
22.06.2017 um 10:10 Uhr
Ich habe immer ohne eine extra LG für die Freigabe probiert zu lösen.

Kenn mich jetzt nicht so gut mit dem Geschäft aus, da ich das halt gerade lerne, aber ist es üblich extra LG für Freigaben zu erstellen ?
Bitte warten ..
Mitglied: Kraemer
22.06.2017 um 11:38 Uhr
Kann das sein, das du das ganze Prinzip noch nicht verstanden hast?
Wie willst du sonst die Freigabe transparent / nachvollziehbar ohne GG einrichten?
Bitte warten ..
Mitglied: Windows10PRO
22.06.2017 um 15:32 Uhr
Du hast tatsächlich recht, so ganz verstanden hab ichs noch nicht, deswegen poste ich ja hier

Na die Sache mit den Gruppen Global und Lokal ist mir schon klar. Allerdings habe ich ebend noch nicht gesehen, dass es eine ganz separate
Gruppe nur für die Freigabe gibt. So wie du es eben mit der LG-Einkäufer-Freigabe gemacht hast, die sonst für nix anderes benutzt wird.
Bitte warten ..
Mitglied: Kraemer
22.06.2017 um 15:36 Uhr
Das liegt an zweierlei Dingen:
1. Euer Konstrukt ist nicht zu Ende gedacht und damit hinderlich
2. Es ist jetzt so, dass diese Gruppe nirgends anders gebraucht wird - dass kann sich aber ändern.

Und noch zum Punkt 2: Ich habe immer wieder Gruppen, die noch nie gebraucht wurden. Sie hätten aber gebraucht werden können, weil sie eine sinnvolle Gruppe repräsentieren. Für die Übersicht allerdings waren sie immer hilfreich.
Bitte warten ..
Heiß diskutierte Inhalte
Server-Hardware
Grobes Konzept Hyper-V Storage - Storage für Hyper-V
nachgefragtFrageServer-Hardware26 Kommentare

Hallo Administratoren. Um VHDX-Daten zentral zu halten freue ich mich auf Euren konstruktiven Input. Bisher liegen die VHDX-Daten jeweils ...

Router & Routing
Cisco RIPv1 RIPv2
MrLabelFrageRouter & Routing26 Kommentare

Hallo Zusammen, ich muss nochmal auf eine schon behandelte Frage eingehen. Bitte jemand, der auch den Cisco Paket Tracer ...

Schulung & Training
IT Ausbildung
gelöst IntershipFrageSchulung & Training18 Kommentare

Hallo Leute, ist diese Ausbildung etwas für den IT-Einstig? Willkommen bei der GFN! Arbeitsuchende Berufstätige Kostenträger Über uns Jobs ...

Windows Server
Terminal Server Hyper-V Grafik performance
ReneM1983FrageWindows Server17 Kommentare

Moin Kollegen, ich habe da mal ein Problem, ein Kunde hat einen Terminal Server auf einem Hyper-V laufen, wo ...

Verschlüsselung & Zertifikate
Elektronische Unterschrift
gelöst PeterzFrageVerschlüsselung & Zertifikate14 Kommentare

Hallo zusammen, könnt ihr mir vielleicht ein paar Hinweise geben, wie ihr eine elektronische Unterschrift unter Dokumente und E-Mails ...

Vmware
Probleme mit meinem VM-Server und keine Idee
worker2000FrageVmware13 Kommentare

Moin zusammen, ich brauche mal ein wenig Input weil mir langsam die Ideen ausgehen. Am Ende vermute ich dass ...

Ähnliche Inhalte
Windows Userverwaltung

AD Konzept nach dem A G DL P Konzept wo Domänenlokale Gruppen ablegen

gelöst Stefan3110FrageWindows Userverwaltung2 Kommentare

Hey, ich möchte ein AD Konzept nach dem „A G DL P“ Konzept abbilden. Dazu baute ich eine Struktur ...

Batch & Shell

Wenn echo gleich G dann springe zu G

gelöst o0Julia0oFrageBatch & Shell5 Kommentare

hi, so habe ich es versucht - klappt aber nicht: wo ist das Problem? danke!

Windows Server

HP Proliant DL 380G7 ILO2 Problem und DL 580G6 OS Prolem

gelöst Home-NeulingFrageWindows Server7 Kommentare

Hallo, ich bin neu hier, und hoffe das ich hier jetzt auch richtig Poste. Ich habe mir zuhause ein ...

Batch & Shell

Probleme mit set P

gelöst PabllpFrageBatch & Shell3 Kommentare

Hallo, ich muss für die Berufsschule eine kleine Batchdatei schreiben. Ich hätte sie soweit fertig aber irgendwie funktioniert diese ...

Windows Server

WS2012R2 Dateifreigabe für externen DL

gelöst SPSmanFrageWindows Server18 Kommentare

Hallo, ich habe folgendes Problem auf dem Tisch: Wir wollen mit einem externen Dienstleister die gleiche Datei bearbeiten (über ...

Batch & Shell

Wartezeit bei "set p" begrenzen?

gelöst nocheinnoobmehrFrageBatch & Shell10 Kommentare

Moinsen, ich hab da irgendwie ein Brett vor dem Kopp: In einem Script habe ich eine Eingabe "set /p" ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT