8
Lokale und Globale Gruppen im AD
Hallo zusammen,
ich benötige bitte mal eure Hilfe.
Bei uns in der Firma gab es als "fileserver" bisher nur ein altes NAS, obwohl wir bereits alles seit Jahren Auf Windows Server mit AD umgestellt haben. Chef wollte sich nicht davon trennen, da er dort seine privaten Sachen und geschäftlichen Sachen die die Mitarbeiter nix angehen eben drauf liegen hat.
Da das NAS aus dem allerletzen Loch pfeift hab ich ihm jetzt angeraten doch auf einen Windows File Server umzustellen. Diesen habe ich grundlegend schon vorbereitet (Server 2019) und in der Domäne drin.
Es gibt bei uns aktuell nur die Windows eigenen Standardgruppen. Jetzt möchte ich natürlich möglichst alles richtig machen und verschiedene Gruppen für die Berechtigungen anlegen.
Gruppen wären z.B. Geschäftsleitung, Buchhaltung, Einkauf, Vertrieb und Technik
Globale Sicherheitsgruppen?
Lokale (Domäne) Sicherheitsgruppen?
Wohin mit den PC's, diese auch in eine Gruppe aufnehmen
Welche Gruppentypen lege ich hier am besten jetzt an? Es kann auch vorkommen dass sich ein Mitarbeiter aus der Technik mal an einem PC der Buchhaltung oder des Vertriebs anmeldet.
Ich hätte jetzt für die einzelnen Bereiche "domänenlokale Sicherheitsgruppen" angelegt.
Wie handhabe ich das dann mit den Freigaben? Klar Freigabe nicht auf Benutzer sondern auf die Gruppen.
Jetzt soll aber auch die Technik auf gewisse Ordner des Vetriebs Lese bzw. Änderungszugriff bekommen..
Ich blick grad ned so durch wie ich das mit den Gruppen jetzt am geschicktesten löse...
Schubbst mich bitte mal von der Leitung...
Danke... Tak
ich benötige bitte mal eure Hilfe.
Bei uns in der Firma gab es als "fileserver" bisher nur ein altes NAS, obwohl wir bereits alles seit Jahren Auf Windows Server mit AD umgestellt haben. Chef wollte sich nicht davon trennen, da er dort seine privaten Sachen und geschäftlichen Sachen die die Mitarbeiter nix angehen eben drauf liegen hat.
Da das NAS aus dem allerletzen Loch pfeift hab ich ihm jetzt angeraten doch auf einen Windows File Server umzustellen. Diesen habe ich grundlegend schon vorbereitet (Server 2019) und in der Domäne drin.
Es gibt bei uns aktuell nur die Windows eigenen Standardgruppen. Jetzt möchte ich natürlich möglichst alles richtig machen und verschiedene Gruppen für die Berechtigungen anlegen.
Gruppen wären z.B. Geschäftsleitung, Buchhaltung, Einkauf, Vertrieb und Technik
Globale Sicherheitsgruppen?
Lokale (Domäne) Sicherheitsgruppen?
Wohin mit den PC's, diese auch in eine Gruppe aufnehmen
Welche Gruppentypen lege ich hier am besten jetzt an? Es kann auch vorkommen dass sich ein Mitarbeiter aus der Technik mal an einem PC der Buchhaltung oder des Vertriebs anmeldet.
Ich hätte jetzt für die einzelnen Bereiche "domänenlokale Sicherheitsgruppen" angelegt.
Wie handhabe ich das dann mit den Freigaben? Klar Freigabe nicht auf Benutzer sondern auf die Gruppen.
Jetzt soll aber auch die Technik auf gewisse Ordner des Vetriebs Lese bzw. Änderungszugriff bekommen..
Ich blick grad ned so durch wie ich das mit den Gruppen jetzt am geschicktesten löse...
Schubbst mich bitte mal von der Leitung...
Danke... Tak
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7110989476
Url: https://administrator.de/contentid/7110989476
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
8 Kommentare
Neuester Kommentar
Naja, du legst halt Sicherheitsgruppen an und gibst denen entsprechende Berechtigungen für die Freigaben.
Und die User, die diese Berechtigungen benötigen werden halt Mitglied in den entsprechenden Grupen.
Kleines Beispiel: User X soll in die FiBu- aber auch in die LoBu-Ordner kucken und schreiben können. Also pack ich ihn in die Sicherheitsgruppe FiBu und Sicherheitsgruppe LoBu. User Y soll nur in LoBu kucken und ist folglich nur Mitglied in der Sicherheitsgruppe LoBu.
Ich hab da u.a. einen User, der (weil halt ich als Admin) überall reinschauen können muss, der in allen Gruppen Mitglied ist. Als User und nicht als Admin.
Ergibt sich aber theoretisch auch rein vom Organigramm mit den Jobbeschreibungen.
Und die User, die diese Berechtigungen benötigen werden halt Mitglied in den entsprechenden Grupen.
Kleines Beispiel: User X soll in die FiBu- aber auch in die LoBu-Ordner kucken und schreiben können. Also pack ich ihn in die Sicherheitsgruppe FiBu und Sicherheitsgruppe LoBu. User Y soll nur in LoBu kucken und ist folglich nur Mitglied in der Sicherheitsgruppe LoBu.
Ich hab da u.a. einen User, der (weil halt ich als Admin) überall reinschauen können muss, der in allen Gruppen Mitglied ist. Als User und nicht als Admin.
Ergibt sich aber theoretisch auch rein vom Organigramm mit den Jobbeschreibungen.
Hallo kpunkt,
ok, verstehe ich. Aber welche Art von Sicherheitsgruppe? Lokal (in Domäne) oder Global
Es kommt demnächst auch noch eine Vertrauensstellung zu einer anderen Domäne hinzu. Das vielleicht noch als Grundgedanke.
Tak
ok, verstehe ich. Aber welche Art von Sicherheitsgruppe? Lokal (in Domäne) oder Global
Es kommt demnächst auch noch eine Vertrauensstellung zu einer anderen Domäne hinzu. Das vielleicht noch als Grundgedanke.
Tak
Ah...darauf bin ich eher nicht eingegangen.
Best Practice ist (soweit ich weiß) User in globale Sicherheitsgruppen (nach Organigramm). Die Berechtigungen für die Freigaben dann über domänenlokale Gruppen, in die man die globalen Sicherheitsgruppen steckt.
In universelle Gruppen kannst du dann Objekte aller Domänen reinpacken, während globale Gruppen eben nur die Objekte der eigenen Domäne kennen.
Ich muss aber gestehen, dass bei uns nur globale Gruppen unterwegs sind. Ich persönlich seh da keinen zusätzlichen Nutzen bei unserer Struktur, da noch die lokalen Gruppen zu nutzen. Und Domäne gibts auch nur eine bei uns.
Best Practice ist (soweit ich weiß) User in globale Sicherheitsgruppen (nach Organigramm). Die Berechtigungen für die Freigaben dann über domänenlokale Gruppen, in die man die globalen Sicherheitsgruppen steckt.
In universelle Gruppen kannst du dann Objekte aller Domänen reinpacken, während globale Gruppen eben nur die Objekte der eigenen Domäne kennen.
Ich muss aber gestehen, dass bei uns nur globale Gruppen unterwegs sind. Ich persönlich seh da keinen zusätzlichen Nutzen bei unserer Struktur, da noch die lokalen Gruppen zu nutzen. Und Domäne gibts auch nur eine bei uns.
Hallo!
Prinzipiell geht man nach MS folgender Maßen vor
1. Ressourcengruppen - das sind domänenlokale Gruppen, welche schlussendlich den Zugriff regeln. Am besten Du erstellt je 2: DLG-EINKAUF-R und DLG-EINKAUF-RW zB. Freigabeberechtigung JEDER-VOLL, NTFS-Berechtigung des Ordners: Vererbung deaktivieren, der Gruppe...RW Ändern-Rechte, der Gruppe R Leserechte und dem Admin (und Backupuser) Vollzugriff
2. Rollengruppen - das sind Globale Sicherheitsgruppen, beispielsweise die Gruppe der Geschäftsführer GG-GF. Diese Gruppe ist dann Mitglied der entsprechenden Ressourcengruppen (Geschäftsführer gewöhnlich in allen...). Dann gibts da bestimmt sowas wie
Gerade mit Vertrauensstellung ist solch ein Konzept ein Muss.
Wenn eine andere Gruppe nur auf TEILE einer bestimmten Gruppe zugreifen soll, ist das Grundkonzept falsch. Der Obergeordnete Ordner wird berechtigt, alles darunter genauso, sonst wirst Du nie wieder durchblicken, wer wo berechtig ist!
BEi uns gibt es im neuen Fileserver genau EINE Freigabe auf EINEN Ordner, diesen dürfen alle Ressourcengruppen LESEN (also Berechtigung des Freigegebenen Ordners). Darunter gibt es Ordner mit Abteilungen, auf die die jeweiligen Ressourcengruppen berechtigt sind und ABE ist aktiviert: Jeder sieht also in der Freigabe nur genau die Ordner, wo er auch Berechtigungen hat. Das Ganze hab ich noch verfeinert, indem Jeder Abteilungsordner 3 Unterordner hat: Leitung, Mitarbeiter und public - alles über die jeweiligen Ressopurcengruppen abgesichert. Um Dein Problem nun zu lösen: Der Vertrieb speichert die Dokumente, die die Technik sehen soll, im Unterordner public und die Rollengruppe GG-Technik wird Mitglied der Resourcengruppe DLG-Vertrieb-public-RW. Immer daran denken, dass die Ressourcengruppen nur Ändern-Rechte bekommen und niemals Vollzugriff, sonst haste ein Wildwuchs, den Du nicht mehr steuern kannst.
Gruß Freili
Prinzipiell geht man nach MS folgender Maßen vor
1. Ressourcengruppen - das sind domänenlokale Gruppen, welche schlussendlich den Zugriff regeln. Am besten Du erstellt je 2: DLG-EINKAUF-R und DLG-EINKAUF-RW zB. Freigabeberechtigung JEDER-VOLL, NTFS-Berechtigung des Ordners: Vererbung deaktivieren, der Gruppe...RW Ändern-Rechte, der Gruppe R Leserechte und dem Admin (und Backupuser) Vollzugriff
2. Rollengruppen - das sind Globale Sicherheitsgruppen, beispielsweise die Gruppe der Geschäftsführer GG-GF. Diese Gruppe ist dann Mitglied der entsprechenden Ressourcengruppen (Geschäftsführer gewöhnlich in allen...). Dann gibts da bestimmt sowas wie
Gerade mit Vertrauensstellung ist solch ein Konzept ein Muss.
Wenn eine andere Gruppe nur auf TEILE einer bestimmten Gruppe zugreifen soll, ist das Grundkonzept falsch. Der Obergeordnete Ordner wird berechtigt, alles darunter genauso, sonst wirst Du nie wieder durchblicken, wer wo berechtig ist!
BEi uns gibt es im neuen Fileserver genau EINE Freigabe auf EINEN Ordner, diesen dürfen alle Ressourcengruppen LESEN (also Berechtigung des Freigegebenen Ordners). Darunter gibt es Ordner mit Abteilungen, auf die die jeweiligen Ressourcengruppen berechtigt sind und ABE ist aktiviert: Jeder sieht also in der Freigabe nur genau die Ordner, wo er auch Berechtigungen hat. Das Ganze hab ich noch verfeinert, indem Jeder Abteilungsordner 3 Unterordner hat: Leitung, Mitarbeiter und public - alles über die jeweiligen Ressopurcengruppen abgesichert. Um Dein Problem nun zu lösen: Der Vertrieb speichert die Dokumente, die die Technik sehen soll, im Unterordner public und die Rollengruppe GG-Technik wird Mitglied der Resourcengruppe DLG-Vertrieb-public-RW. Immer daran denken, dass die Ressourcengruppen nur Ändern-Rechte bekommen und niemals Vollzugriff, sonst haste ein Wildwuchs, den Du nicht mehr steuern kannst.
Gruß Freili
Hallo Freili,
danke für Deinen Input. Ich denke ich verstehs
Ich erstelle also erstmal eine neue Struktur
Freigabe
--> Geschäftsleitung
--> Technik
--> Buchhaltung
--> Vertrieb
--> usw
Dann Ressourcengruppen und Rollengruppen und die Zugriffsberechtigte Auflistung
Dann Werde ich das mal so in einer Lab Umgebung antesten, bevor ich die Daten vom NAS rüberhol und Chaos anrichte
Derzeit haben wir in der Einen Freigabe alle mögliche drin was ich dann aufsplitten muss...etwas Chaotisch alles...
Wenn ich alles richtig dann mal gemacht habe, dürfte:
- niemand mehr im Ordner Freigabe etwas erstellen
- die Technik den Ordner der Geschäftsleitung nicht mehr sehen
- usw.
Danke Tak
danke für Deinen Input. Ich denke ich verstehs
Ich erstelle also erstmal eine neue Struktur
Freigabe
--> Geschäftsleitung
--> Technik
--> Buchhaltung
--> Vertrieb
--> usw
Dann Ressourcengruppen und Rollengruppen und die Zugriffsberechtigte Auflistung
Dann Werde ich das mal so in einer Lab Umgebung antesten, bevor ich die Daten vom NAS rüberhol und Chaos anrichte
Derzeit haben wir in der Einen Freigabe alle mögliche drin was ich dann aufsplitten muss...etwas Chaotisch alles...Wenn ich alles richtig dann mal gemacht habe, dürfte:
- niemand mehr im Ordner Freigabe etwas erstellen
- die Technik den Ordner der Geschäftsleitung nicht mehr sehen
- usw.
Danke Tak
Moin,
das Ganze fällt unter das AGDLP (Accounts, Global, Domain Local, Permission) Prinzip.
Lesestoff findest du bei der Suchmaschine deines Vertrauens.
Gruß,
Dani
das Ganze fällt unter das AGDLP (Accounts, Global, Domain Local, Permission) Prinzip.
Lesestoff findest du bei der Suchmaschine deines Vertrauens.
Gruß,
Dani
Moin,
ein Tipp noch von meiner Seite.
Bau die Ordner Struktur bezüglich Berechtigungen nicht zu tief. Aber tiefe 3 sollten Berechtigungen nur noch vererbt werden da du sonst irgend wann den Überblick verlierst.
Gruß
Spirit
ein Tipp noch von meiner Seite.
Bau die Ordner Struktur bezüglich Berechtigungen nicht zu tief. Aber tiefe 3 sollten Berechtigungen nur noch vererbt werden da du sonst irgend wann den Überblick verlierst.
Gruß
Spirit
Moin,
lies mal das:
https://www.techtarget.com/searchwindowsserver/tip/Active-Directory-nest ...
hth
Erik
lies mal das:
https://www.techtarget.com/searchwindowsserver/tip/Active-Directory-nest ...
hth
Erik
