takvorian
Goto Top

Lokale und Globale Gruppen im AD

Hallo zusammen,

ich benötige bitte mal eure Hilfe.
Bei uns in der Firma gab es als "fileserver" bisher nur ein altes NAS, obwohl wir bereits alles seit Jahren Auf Windows Server mit AD umgestellt haben. Chef wollte sich nicht davon trennen, da er dort seine privaten Sachen und geschäftlichen Sachen die die Mitarbeiter nix angehen eben drauf liegen hat.
Da das NAS aus dem allerletzen Loch pfeift hab ich ihm jetzt angeraten doch auf einen Windows File Server umzustellen. Diesen habe ich grundlegend schon vorbereitet (Server 2019) und in der Domäne drin.

Es gibt bei uns aktuell nur die Windows eigenen Standardgruppen. Jetzt möchte ich natürlich möglichst alles richtig machen und verschiedene Gruppen für die Berechtigungen anlegen.

Gruppen wären z.B. Geschäftsleitung, Buchhaltung, Einkauf, Vertrieb und Technik
Globale Sicherheitsgruppen?
Lokale (Domäne) Sicherheitsgruppen?
Wohin mit den PC's, diese auch in eine Gruppe aufnehmen

Welche Gruppentypen lege ich hier am besten jetzt an? Es kann auch vorkommen dass sich ein Mitarbeiter aus der Technik mal an einem PC der Buchhaltung oder des Vertriebs anmeldet.

Ich hätte jetzt für die einzelnen Bereiche "domänenlokale Sicherheitsgruppen" angelegt.
Wie handhabe ich das dann mit den Freigaben? Klar Freigabe nicht auf Benutzer sondern auf die Gruppen.
Jetzt soll aber auch die Technik auf gewisse Ordner des Vetriebs Lese bzw. Änderungszugriff bekommen..

Ich blick grad ned so durch wie ich das mit den Gruppen jetzt am geschicktesten löse...

Schubbst mich bitte mal von der Leitung...

Danke... Tak

Content-ID: 7110989476

Url: https://administrator.de/forum/lokale-und-globale-gruppen-im-ad-7110989476.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

kpunkt
kpunkt 11.05.2023 um 14:17:08 Uhr
Goto Top
Naja, du legst halt Sicherheitsgruppen an und gibst denen entsprechende Berechtigungen für die Freigaben.
Und die User, die diese Berechtigungen benötigen werden halt Mitglied in den entsprechenden Grupen.

Kleines Beispiel: User X soll in die FiBu- aber auch in die LoBu-Ordner kucken und schreiben können. Also pack ich ihn in die Sicherheitsgruppe FiBu und Sicherheitsgruppe LoBu. User Y soll nur in LoBu kucken und ist folglich nur Mitglied in der Sicherheitsgruppe LoBu.

Ich hab da u.a. einen User, der (weil halt ich als Admin) überall reinschauen können muss, der in allen Gruppen Mitglied ist. Als User und nicht als Admin.

Ergibt sich aber theoretisch auch rein vom Organigramm mit den Jobbeschreibungen.
takvorian
takvorian 11.05.2023 um 14:23:05 Uhr
Goto Top
Hallo kpunkt,

ok, verstehe ich. Aber welche Art von Sicherheitsgruppe? Lokal (in Domäne) oder Global
Es kommt demnächst auch noch eine Vertrauensstellung zu einer anderen Domäne hinzu. Das vielleicht noch als Grundgedanke.

Tak
kpunkt
kpunkt 11.05.2023 um 14:38:26 Uhr
Goto Top
Ah...darauf bin ich eher nicht eingegangen.
Best Practice ist (soweit ich weiß) User in globale Sicherheitsgruppen (nach Organigramm). Die Berechtigungen für die Freigaben dann über domänenlokale Gruppen, in die man die globalen Sicherheitsgruppen steckt.
In universelle Gruppen kannst du dann Objekte aller Domänen reinpacken, während globale Gruppen eben nur die Objekte der eigenen Domäne kennen.

Ich muss aber gestehen, dass bei uns nur globale Gruppen unterwegs sind. Ich persönlich seh da keinen zusätzlichen Nutzen bei unserer Struktur, da noch die lokalen Gruppen zu nutzen. Und Domäne gibts auch nur eine bei uns.
freili
freili 11.05.2023 um 14:42:56 Uhr
Goto Top
Hallo!

Prinzipiell geht man nach MS folgender Maßen vor
1. Ressourcengruppen - das sind domänenlokale Gruppen, welche schlussendlich den Zugriff regeln. Am besten Du erstellt je 2: DLG-EINKAUF-R und DLG-EINKAUF-RW zB. Freigabeberechtigung JEDER-VOLL, NTFS-Berechtigung des Ordners: Vererbung deaktivieren, der Gruppe...RW Ändern-Rechte, der Gruppe R Leserechte und dem Admin (und Backupuser) Vollzugriff
2. Rollengruppen - das sind Globale Sicherheitsgruppen, beispielsweise die Gruppe der Geschäftsführer GG-GF. Diese Gruppe ist dann Mitglied der entsprechenden Ressourcengruppen (Geschäftsführer gewöhnlich in allen...). Dann gibts da bestimmt sowas wie

Gerade mit Vertrauensstellung ist solch ein Konzept ein Muss.
Wenn eine andere Gruppe nur auf TEILE einer bestimmten Gruppe zugreifen soll, ist das Grundkonzept falsch. Der Obergeordnete Ordner wird berechtigt, alles darunter genauso, sonst wirst Du nie wieder durchblicken, wer wo berechtig ist!
BEi uns gibt es im neuen Fileserver genau EINE Freigabe auf EINEN Ordner, diesen dürfen alle Ressourcengruppen LESEN (also Berechtigung des Freigegebenen Ordners). Darunter gibt es Ordner mit Abteilungen, auf die die jeweiligen Ressourcengruppen berechtigt sind und ABE ist aktiviert: Jeder sieht also in der Freigabe nur genau die Ordner, wo er auch Berechtigungen hat. Das Ganze hab ich noch verfeinert, indem Jeder Abteilungsordner 3 Unterordner hat: Leitung, Mitarbeiter und public - alles über die jeweiligen Ressopurcengruppen abgesichert. Um Dein Problem nun zu lösen: Der Vertrieb speichert die Dokumente, die die Technik sehen soll, im Unterordner public und die Rollengruppe GG-Technik wird Mitglied der Resourcengruppe DLG-Vertrieb-public-RW. Immer daran denken, dass die Ressourcengruppen nur Ändern-Rechte bekommen und niemals Vollzugriff, sonst haste ein Wildwuchs, den Du nicht mehr steuern kannst.

Gruß Freili
takvorian
takvorian 11.05.2023 um 16:09:17 Uhr
Goto Top
Hallo Freili,

danke für Deinen Input. Ich denke ich verstehs
Ich erstelle also erstmal eine neue Struktur

Freigabe
--> Geschäftsleitung
--> Technik
--> Buchhaltung
--> Vertrieb
--> usw


Dann Ressourcengruppen und Rollengruppen und die Zugriffsberechtigte Auflistung

Dann Werde ich das mal so in einer Lab Umgebung antesten, bevor ich die Daten vom NAS rüberhol und Chaos anrichte face-smile Derzeit haben wir in der Einen Freigabe alle mögliche drin was ich dann aufsplitten muss...etwas Chaotisch alles...

Wenn ich alles richtig dann mal gemacht habe, dürfte:

- niemand mehr im Ordner Freigabe etwas erstellen
- die Technik den Ordner der Geschäftsleitung nicht mehr sehen
- usw.

Danke Tak
Dani
Dani 11.05.2023 um 19:29:35 Uhr
Goto Top
Moin,
das Ganze fällt unter das AGDLP (Accounts, Global, Domain Local, Permission) Prinzip.
Lesestoff findest du bei der Suchmaschine deines Vertrauens.


Gruß,
Dani
Spirit-of-Eli
Spirit-of-Eli 11.05.2023 um 19:43:22 Uhr
Goto Top
Moin,

ein Tipp noch von meiner Seite.
Bau die Ordner Struktur bezüglich Berechtigungen nicht zu tief. Aber tiefe 3 sollten Berechtigungen nur noch vererbt werden da du sonst irgend wann den Überblick verlierst.

Gruß
Spirit
erikro
erikro 12.05.2023 um 11:53:36 Uhr
Goto Top