7
Gruppe in Gruppe im AD ?
Guten Nachmittag allerseits
Wir sind am Umstrukturieren unseres Gruppenlaufwerks W:\. (Auf dem Gruppenlaufwerk haben verschiedene Bereiche Ihre Verzeichnisse und entsprechend den notwendigen Zugriff ). Dies wird zur Folge haben das viele vorhandene AD Gruppen und Ihre Mitglieder nicht mehr genutzt werden können, und neu erstellt werden müssen, da es auch zu Verschiebungen mit den berechtigten Benutzer kommen wird, ich rechne damit, dass 80-90% der Gruppen neu erstellt werden müssen, wir haben an die ca. 40 Gruppen, welches einfacher ist als vorhandene Gruppen zu bearbeiten, da die neue Struktur auf einer anderen Partition erstellt wird.
Seit 2016 arbeite ich hier, und wir hatten bisher immer 2 Gruppen, nun frage ich mich ist das überhaupt notwendig?
Ein aktuelles Beispiel:
DL_Marketing hat Berechtigung auf den Ordner Marketing
Die Gruppe G_Marketing ist wiederum Mitglied der Gruppe DL_Marketing. In dieser G_ Gruppe werden dann alle Benutzer berechtigt, die Zugriff haben müssen auf den Ordner Marketing.
Dies ist ein Beispiel von sehr vielen Gruppen, wenn wir sowieso alles neu machen, würde es nicht ausreichen wenn wir nur noch eine Gruppe Erstellen zb. G_XY, diese auf den entsprechenden Ordner berechtigen und die notwendigen Benutzer in die Gruppe hinzufügen?
Kurz gesagt, würde es vollkommen ausreichen wenn man nur eine Gruppe erstellt und diese auf den jeweiligen Ordner berechtigt, und in dieser Gruppe die Benutzer hinzufügt ?
Wir sind am Umstrukturieren unseres Gruppenlaufwerks W:\. (Auf dem Gruppenlaufwerk haben verschiedene Bereiche Ihre Verzeichnisse und entsprechend den notwendigen Zugriff ). Dies wird zur Folge haben das viele vorhandene AD Gruppen und Ihre Mitglieder nicht mehr genutzt werden können, und neu erstellt werden müssen, da es auch zu Verschiebungen mit den berechtigten Benutzer kommen wird, ich rechne damit, dass 80-90% der Gruppen neu erstellt werden müssen, wir haben an die ca. 40 Gruppen, welches einfacher ist als vorhandene Gruppen zu bearbeiten, da die neue Struktur auf einer anderen Partition erstellt wird.
Seit 2016 arbeite ich hier, und wir hatten bisher immer 2 Gruppen, nun frage ich mich ist das überhaupt notwendig?
Ein aktuelles Beispiel:
DL_Marketing hat Berechtigung auf den Ordner Marketing
Die Gruppe G_Marketing ist wiederum Mitglied der Gruppe DL_Marketing. In dieser G_ Gruppe werden dann alle Benutzer berechtigt, die Zugriff haben müssen auf den Ordner Marketing.
Dies ist ein Beispiel von sehr vielen Gruppen, wenn wir sowieso alles neu machen, würde es nicht ausreichen wenn wir nur noch eine Gruppe Erstellen zb. G_XY, diese auf den entsprechenden Ordner berechtigen und die notwendigen Benutzer in die Gruppe hinzufügen?
Kurz gesagt, würde es vollkommen ausreichen wenn man nur eine Gruppe erstellt und diese auf den jeweiligen Ordner berechtigt, und in dieser Gruppe die Benutzer hinzufügt ?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1441383727
Url: https://administrator.de/contentid/1441383727
Printed on: May 4, 2024 at 09:05 o'clock
7 Comments
Latest comment
Moin,
ich erstelle immer nur eine Gruppe pro Ordner (bzw. 2: r = read, w = write), die dann auch entsprechend heißt. Das macht das spätere Hinzufügen der User doch wesentlich einfacher, als wenn man erst schauen muss, welche der MArgeting_Gruppen denn jetzt wirklich auf den Ordner Zugriff hat.
Idealerweise geht man mit der Berechtigungsstruktur auch nicht zu tief.
Gruß
ich erstelle immer nur eine Gruppe pro Ordner (bzw. 2: r = read, w = write), die dann auch entsprechend heißt. Das macht das spätere Hinzufügen der User doch wesentlich einfacher, als wenn man erst schauen muss, welche der MArgeting_Gruppen denn jetzt wirklich auf den Ordner Zugriff hat.
Idealerweise geht man mit der Berechtigungsstruktur auch nicht zu tief.
Gruß
Hallo,
hört sich danach an, als ob Eure Struktur sauber nach dem AGDLP-Prinzip aufgesetzt wurde.
Ich würde hier also garnichts ändern oder mich an Deiner Stelle mal in AGDLP einlesen.
cu,
ipzipzap
hört sich danach an, als ob Eure Struktur sauber nach dem AGDLP-Prinzip aufgesetzt wurde.
Ich würde hier also garnichts ändern oder mich an Deiner Stelle mal in AGDLP einlesen.
cu,
ipzipzap
Moin,
die AGDLP-Regel hat das Ziel, pro User nur noch eine Gruppe zu benötigen. Das hat nur Vorteile.
Nehmen wir mal an, wir haben vier Ordner, auf die Berechtigungen für verschiedene User erfolgen sollen. Die User unterteilen sich in
Geschäftsleitung
Abteilungsleitung (zwei Abteilungen)
Abteilungsmitarbeiter (vier Unterabteilungen)
Mitarbeiter, die lesenden Zugriff brauchen
Die Ordner sind dann vier der vier Unterabteilungen.
Also habe ich erst einmal vier globale Gruppen. Für die vier Ordner habe ich acht lokale Gruppen. Eine mit Vollzugriff und eine mit Lese-Zugriff.
Die g_geschaeftsleitung ist Mitglied in allen lokalen Gruppen mit Vollzugriff. Damit haben alle Mitglieder der Gruppe Vollzugriff. Die g_abteilungsleitung1 und g_abteilungsleitung2 ist Mitglied der jeweils zwei lokalen Gruppen der Unterabteilungen. Die Gruppen g_abteilungsmitarbeiter1 - 4 sind Mitglieder der jeweils zuständigen lokalen Gruppe. usw.
Wechselt jetzt ein Mitarbeiter z. B. in die Abteilungsleitung, dann muss ich nur eine Gruppenmitgliedschaft ändern. Verlässt ein Mitarbeiter die Firma, muss ich ihn nur aus einer Gruppe entfernen. Kommt ein neuer, dann auch nur eine Gruppe.
Der einzige Nachteil des Systems: Am Anfang braucht es viel Hirnschmalz, um das zu durchdenken.
Liebe Grüße
Erik
die AGDLP-Regel hat das Ziel, pro User nur noch eine Gruppe zu benötigen. Das hat nur Vorteile.
Nehmen wir mal an, wir haben vier Ordner, auf die Berechtigungen für verschiedene User erfolgen sollen. Die User unterteilen sich in
Geschäftsleitung
Abteilungsleitung (zwei Abteilungen)
Abteilungsmitarbeiter (vier Unterabteilungen)
Mitarbeiter, die lesenden Zugriff brauchen
Die Ordner sind dann vier der vier Unterabteilungen.
Also habe ich erst einmal vier globale Gruppen. Für die vier Ordner habe ich acht lokale Gruppen. Eine mit Vollzugriff und eine mit Lese-Zugriff.
Die g_geschaeftsleitung ist Mitglied in allen lokalen Gruppen mit Vollzugriff. Damit haben alle Mitglieder der Gruppe Vollzugriff. Die g_abteilungsleitung1 und g_abteilungsleitung2 ist Mitglied der jeweils zwei lokalen Gruppen der Unterabteilungen. Die Gruppen g_abteilungsmitarbeiter1 - 4 sind Mitglieder der jeweils zuständigen lokalen Gruppe. usw.
Wechselt jetzt ein Mitarbeiter z. B. in die Abteilungsleitung, dann muss ich nur eine Gruppenmitgliedschaft ändern. Verlässt ein Mitarbeiter die Firma, muss ich ihn nur aus einer Gruppe entfernen. Kommt ein neuer, dann auch nur eine Gruppe.
Der einzige Nachteil des Systems: Am Anfang braucht es viel Hirnschmalz, um das zu durchdenken.
Liebe Grüße
Erik
Und was macht ihr bei Abteilungsübergreifenden Zugriffen?
Ist doch ganz einfach und eigentlich habe ich das schon erklärt:
1. Szenario einfach:
Abteilung_A und Abteilung_B haben einen gemeinsamen Ordner. Es gibt eine lokale Gruppe: l_rw_gemeinsamer_ordner_a_b und zwei globale Gruppen g_abtA und g_abtB. In den beiden globalen Gruppen sind die Mitarbeiter der jeweiligen Abteilungen. Die beiden globalen Gruppen sind Mitglieder in der lokalen Gruppe. Somit haben die beiden globalen Gruppen Zugriff und diesen Zugriff erben ihre Mitglieder, die User.
2. Szenario etwas schwieriger
Aus Abteilung_A und Abteilung_B sollen nur jeweils bestimmte User zugreifen. Dann bilde ich jeweils eine weitere globale Gruppe: g_abtASpezial und g_abtBSpezial. Diese beiden globalen Gruppen werden Mitglieder der jeweiligen Abteilungsgruppen g_abtA und g_abtB. Somit erben sie alle Rechte dieser Gruppen. Und sie werden Mitglieder der Gruppe l_rw_gemeinsamer_ordner_a_b. Problem gelöst.
3. Szenario Und wenn man mal nicht weiter weiß, gründet man 'nen Arbeitskreis
Das wäre ein Fall, da würde ich vom Prinzip eine Gruppe pro User abweichen und eine globale Gruppe g_tmp_Arbeitskreis bilden aus dem Mitgliedern diese Gremiums.
Es ist das Ziel nur eine Gruppe pro User zu haben. Man kann das aber leider nicht immer erreichen. Es gibt noch mehr Szenarien, bei denen man das Ziel nicht erreicht. Aber es erleichtert das tägliche Leben ungemein, wenn man eine sauber durchdachte Gruppenstruktur hat. Das scheint bei Euch der Fall zu sein. Du solltest erst einmal versuchen, sie zu verstehen. Diese Erleichterung des täglichen Geschäfts erkauft man sich nämlich immer mit komplexen Strukturen im Hintergrund, die einmal gründlich durchdacht sein müssen.
Ein Beispiel aus der Praxis. In einer meiner Eirichtungen wurde die Arbeit so umorganisiert, dass ein Teil der Belegschaft nicht mehr nur einer, sondern drei Stationen zugeordnet wurde, so dass sie auf die Daten aller drei auch zugreifen können mussten. Also ganz einfach: Gruppe g_alle_stationen gebildet. Die entsprechenden User da rein und aus ihren alten Gruppen raus. Und dann noch g_alle_stationen zum Mitglied aller drei globalen Gruppen g_stat1 usw. gemacht. Fall innerhalb einer halben Stunde erledigt.
<edit>Es empfiehlt sich, auf eine saubere Nomenklatur zu achten.</edit>
Liebe Grüße
Erik
N'Abend.
Von den organisatorischen Vorteilen, die das AGDLP-Prinzip bietet, hat es (ab einer bestimmten Anzahl User/Zugriffe) auch und vor allem Einfluss auf die Performance. Am Fileserver wird bei jedem Aufruf eines Shares bzw. Ordners im Share die komplette ACL ausgewertet - und da bringen verschachtelte Gruppen einen deutlichen Performancegewinn. Insbesondere wenn ABE zum Einsatz kommt, ist das in der Praxis nicht nur mess-, sondern auch spürbar.
Beim Zugriff via SMB aus dem Windows Explorer auf einen Ordner, in dessen ACL eine G-Gruppe enthalten ist, werden alle Mitglieder der Gruppe aufgelistet und die entsprechende Berechtigung angewendet. Bei einer großen Anzahl an Usern in der Gruppe dauert das eben etwas länger.
Verschachtele ich nun die Gruppen, werden nur die in der DL-Gruppe _direkt!_ enthaltenen Einträge geprüft, die verschachtelte G-Gruppe wird gar nicht "geöffnet". Das geht natürlich deutlich schneller. Die Berechtigungen greifen dennoch, da die Gruppenzugehörigkeit im Sessionticket enthalten ist.
Der (theoretisch) vorhandene Nachteil: Die Anzahl an Gruppen, die ins Sessionticket passen, ist begrenzt, d.h. ist ein User in zu vielen Gruppen enthalten, läuft dieser Ansatz erstmal ins Leere. Abhilfe schafft dann die Anpassung der Ticket-Größen - ich habe in >20 Jahren aber noch kein Szenario erlebt, in dem das nötig gewesen wäre.
Cheers,
jsysde
P.S.:
Nachtrag und der Vollständigkeit halber - Auswertung der ACL erfolgt immer nur auf erster Ebene, es wird also immer nur die Gruppe geöffnet, die in der ACL direkt drinsteht. Unabhängig davon, ob die Verschachtelung G=>DL ist oder G=>whatever.
Weiterhin ist es via G=>DL auch möglich, G-Gruppen aus per Trust verbundenen Domains einzufügen und zu berechtigen <= und das nicht nur auf dem Fileserver, sondern generell im AD.
Von den organisatorischen Vorteilen, die das AGDLP-Prinzip bietet, hat es (ab einer bestimmten Anzahl User/Zugriffe) auch und vor allem Einfluss auf die Performance. Am Fileserver wird bei jedem Aufruf eines Shares bzw. Ordners im Share die komplette ACL ausgewertet - und da bringen verschachtelte Gruppen einen deutlichen Performancegewinn. Insbesondere wenn ABE zum Einsatz kommt, ist das in der Praxis nicht nur mess-, sondern auch spürbar.
Beim Zugriff via SMB aus dem Windows Explorer auf einen Ordner, in dessen ACL eine G-Gruppe enthalten ist, werden alle Mitglieder der Gruppe aufgelistet und die entsprechende Berechtigung angewendet. Bei einer großen Anzahl an Usern in der Gruppe dauert das eben etwas länger.
Verschachtele ich nun die Gruppen, werden nur die in der DL-Gruppe _direkt!_ enthaltenen Einträge geprüft, die verschachtelte G-Gruppe wird gar nicht "geöffnet". Das geht natürlich deutlich schneller. Die Berechtigungen greifen dennoch, da die Gruppenzugehörigkeit im Sessionticket enthalten ist.
Der (theoretisch) vorhandene Nachteil: Die Anzahl an Gruppen, die ins Sessionticket passen, ist begrenzt, d.h. ist ein User in zu vielen Gruppen enthalten, läuft dieser Ansatz erstmal ins Leere. Abhilfe schafft dann die Anpassung der Ticket-Größen - ich habe in >20 Jahren aber noch kein Szenario erlebt, in dem das nötig gewesen wäre.
Cheers,
jsysde
P.S.:
Nachtrag und der Vollständigkeit halber - Auswertung der ACL erfolgt immer nur auf erster Ebene, es wird also immer nur die Gruppe geöffnet, die in der ACL direkt drinsteht. Unabhängig davon, ob die Verschachtelung G=>DL ist oder G=>whatever.
Weiterhin ist es via G=>DL auch möglich, G-Gruppen aus per Trust verbundenen Domains einzufügen und zu berechtigen <= und das nicht nur auf dem Fileserver, sondern generell im AD.
Hallo zusammen
Nun ist mir vollkommen klar und erscheint mir vollkommen logisch wieso diese Verschachtelung Sinn macht, dann werde ich dass auch auf mit den neuen Gruppen und Berechtigungen durchziehen als direkt eine Gruppe mitsamt Benutzer Ordner zu berechtigen.
Nun ist mir vollkommen klar und erscheint mir vollkommen logisch wieso diese Verschachtelung Sinn macht, dann werde ich dass auch auf mit den neuen Gruppen und Berechtigungen durchziehen als direkt eine Gruppe mitsamt Benutzer Ordner zu berechtigen.
