aubanan
Goto Top

NTFS Berechtigungen in Unterordnern

Guten Tag zusammen,
leider habe ich nochmal eine Frage zu NTFS Berechtigungen, die ich mir mit der Suchfunktion nicht beantworten konnte.

Geschäftsführung wünscht sich eine neue Ordnerstruktur, die an das Organigram des Vereins angepasst ist.
Das müsste demnach etwa so aussehen:

- Abteilung A 
             + Finanzen
             + Klienten 
             + Mitarbeiter 
             + ...
- Abteilung B
             + Finanzen
             + Klienten 
             + Mitarbeiter 
             + ...
- Abteilung C
             + ...

Eine Struktur mit 2 Ebenen, in der die Zugriffsrechte für jeden o.g. Ordner individuell geregelt sein soll.
Eine 3. Ebene konnte ich in längeren Diskussionen bis jetzt verhindern, ist aber noch nicht ganz vom Tisch.

[Frage 1] ist nun, wie lege ich sinnvollerweise die Berechtigungen an?
Ein Ansatz war:
- ich packe alle User in eine Gruppe "Alle" und gebe dieser Gruppe das Recht, in allen Ordnern Ebene 1 "Ordnerinhalte
anzeigen"
- Für alle Ordner in den Ebenen 2, separate Gruppen anlegen (grp_A_Finanzen, grp_A_Klienten, ... grp_B_Finanzen, ...)

Die User könnten in alle Ordner (mit Vererbung auch in Unterordner) schauen, aber zunächst keine Dateien öffnen. Erst durch Mitgliedschaft in den Gruppen der Ebene 2 dort auch Dateien öffnen.

Und wie steht ihr zu einer 3. Ebene mit separaten Berechtigungen?
Damit multipliziert sich die Anzahl der Gruppen und ich sehe Unübersichtlichkeit und Chaos heranziehen.

[Frage 2] In einem Ordner "Scanner" gibt es für jeden User einen persönlichen Ordner.
- Scanner 
          + User 1
                  + Verwaltung
          + User 2
                  + Verwaltung
          + User ...
Jeder User kommt nur in seinen Ordner.
Eine Gruppe "Verwaltung" soll bei bestimmten Usern auf die Unterordner "Verwaltung Zugriff bekommen.
Wenn ich der Gruppe grp_Verwaltung auf den Ordner Scanner das Recht "Ordnerinhalte anzeigen - (Ververbung an)" gebe, lässt sich das offenbar auf die Unterordner Verwaltung nicht auf "Bearbeiten" aufweiten. Ist das nicht möglich?

Danke!

Content-ID: 8046162929

Url: https://administrator.de/contentid/8046162929

Ausgedruckt am: 10.11.2024 um 01:11 Uhr

kreuzberger
kreuzberger 04.08.2023 um 10:51:34 Uhr
Goto Top
Mahlzeit.

Wozu sollen in der Gruppe „Alle“ alle nur Guckrechte bekommen, aber letztlich da nichts machen dürfen? Für mich erklärt sich da der Sinn nicht. Ich denke diese Gruppe ist dazu überflüssig.
Die Anderen Gruppen anlegen ist so sinnvoll. Die User dieser Gruppen können dann auch nicht sehen, was in den Ordnern liegt, auf die sie keine Rechte haben.
Man sollte bei solchen Baumstrukturen immer an die Rechtevererbung denken. Wie das Funktioniert ist sicher tausendfach im Internet bereits gut beschrieben. WIKI hilft da sicher weiter.
Der „Präsident“ bekommt eben rechte auf den Stammordner und damit auf alle Unterordner.
Das gemeine Fußvolk eben nur auf bestimmte, separate Unterordner und dessen Unterordner, kann aber nicht in der Obersten Stammebene rumwurschteln.

Kreuzberger
StefanKittel
StefanKittel 04.08.2023 um 11:05:39 Uhr
Goto Top
Moin,

üblicherweise so:

Gruppe_A_Finanzen_RW
Gruppe_A_Finanzen_R
Gruppe_A_Klienten_RW
Gruppe_A_Klienten_R
Gruppe_A_Mitarbeiter_RW
Gruppe_A_Mitarbeiter_R

Gruppe_Abteilung_A
Enthalten die 6 Gruppen oben als nur lesen.

Nur wer in einer der 6 Gruppen der Abt A ist, darf überhaupt in den Ordner.

RW = Ändern
R = nur lesen
Aubanan
Aubanan 04.08.2023 um 12:07:27 Uhr
Goto Top
Hallo und Danke für die schnellen Antworten.

Zitat von @StefanKittel:

Gruppe_A_Finanzen_RW
Gruppe_A_Finanzen_R
Gruppe_A_Klienten_RW
Gruppe_A_Klienten_R
Gruppe_A_Mitarbeiter_RW
Gruppe_A_Mitarbeiter_R

Gruppe_Abteilung_A
Enthalten die 6 Gruppen oben als nur lesen.

Nur wer in einer der 6 Gruppen der Abt A ist, darf überhaupt in den Ordner.

So würde das vom Prinzip passen, wobei wir keine Unterscheidung R / RW auf Ebene 2 bräuchten.

Das Recht R der Gruppe_Abteilung_A auf Ordner Abteilung_A sollte dann nicht weiter auf Ebene 2 vererbt werden - richtig?

Zitat von @kreuzberger
Wozu sollen in der Gruppe „Alle“ alle nur Guckrechte bekommen, aber letztlich da nichts machen dürfen?
Die User müssen ja erstmal in die 2. Ebene gelangen.
Wie user stefankittel oben beschreibt, würde das durch eine Zusätzliche Gruppe ermöglicht.
Hier müsstre aber nach meinem Verständnis in jedem Ordner die Vererbung unterbrochen werden, wovon ich möglichst wenig Gebrauch machen möchte.

Womit ich auch wieder bei meiner 2. Frage bin, die ähnlich liegt.
Wenn eine zusätzliche Gruppe z.B. grp_Spezial, die auf Ebene 1 nur lesen kann und auf Ebene 3. aber RW können soll.
kreuzberger
kreuzberger 04.08.2023 um 12:30:34 Uhr
Goto Top
@Aubanan

Um in die 2te eben zu kommen müssen User NICHT auf der ersten ebene Rechte haben. Die rechte setzen hat erst in der 2ten ebne ein und werden von dort aus abwärts vererbt.

Kreuzberger
Aubanan
Aubanan 04.08.2023 um 12:43:21 Uhr
Goto Top
Das würde mir meine 2. Frage lösen, aber es ist leider so: die User müssen erstmal in den Ordner Ebene1 rein um dort dann in die 2. Ebene zu gelangen. *1)
Der Vorschlag von stefankittel sieht das ja genauso vor. Von daher ok.

*1) Es sei denn , die User haben grundsätzlich erstmal Zugriff auf den gesamten Baum / die Partition.
Was sie bei mir aber nicht haben.
kreuzberger
kreuzberger 04.08.2023 um 12:50:59 Uhr
Goto Top
@Aubanan

Das ist eben der Irrtum.

Lege er testweise eine Ordnerstruktur auf einem Windows Server an und gebe sie OHNE Rechte vom Stammordner aus frei.
Dann gehe er auf einen Ordner der „2ten Ebene“ mit rechter Maustaste und vergebe dort die rechte für eine Gruppe / einen User testweise. Du wirst sehen, das dieser User ohne rechte auf „Ebene 1“ (Stammordner) auf den Ordner der „Ebene 2“ zugreifen kann. Er kann dann auch auf alle weiter unten befindlichen Ordner zugreifen wegen der rechteverwrbung, die immer Abwärts funktioniert.

Kreuzberger
StefanKittel
StefanKittel 04.08.2023 um 12:56:58 Uhr
Goto Top
Zitat von @Aubanan:
So würde das vom Prinzip passen, wobei wir keine Unterscheidung R / RW auf Ebene 2 bräuchten.
Ich richte das aus Prinzip immer so ein. Auch wenn der Kunde sagt, dass er es nicht braucht. Häufig braucht er es dann doch face-smile

Das Recht R der Gruppe_Abteilung_A auf Ordner Abteilung_A sollte dann nicht weiter auf Ebene 2 vererbt werden - richtig?
Richtig.
Das ist beim Einrichten ein bischen nervig Tippkrams weil man die Ordner innerhalb von Abt A immer zuerst alle Rechte wegnehmen muss um dann die Gruppen, Admin und System hinzuzufügen.
Es gibt auch Firmen die sagen jeder darf in Abt A rein um zu sehen was es dort gibt, aber nicht mehr in die Unterordner.

Bei Novell war es früher ja so, dass Ordner für die Du keinen Zugriff hast per default nicht sichtbar waren.

Eine Gruppe Alle R ist einfach umzusetzen.
Einfach jeden in diese Gruppem und diese Gruppe in Gruppe_A_*_R hinzufügen.
Meist will der Chef in dieser Gruppe sein.


Meist muss man stark sein.
Besonders wenn dann die Anfrage kommt, dass Martin, Dirk und Michael ab morgen RW Zugriff auf "\Abteilung A\Finanzen\Lieferanten\LIDL\Einkaufslisten".


Stefan
Aubanan
Aubanan 04.08.2023 um 12:59:35 Uhr
Goto Top
@kreuzberger

Bei einem frisch installierten Windows haben alle User Zugriff auf alle lokalen Ordner.
Das ist aber bei (m)einem Fileserver nicht sinnvoll von daher hat die Gruppe "Benutzer" keine Rechte auf dem Laufwerk und erhält diese erst durch o.g. Gruppen. Somit kommen die User erst dann in den Ordner Ebene1 hinein, wenn sie dazu das recht per Gruppe erhalten.

Grüße
StefanKittel
StefanKittel 04.08.2023 um 13:03:28 Uhr
Goto Top
Das Erste was ich mit den Datenlaufwerken bei Windows-Servern mache ist "Jeder" und "Ersteller" zu entfernen. Nur Admin(s) und System sind im Root enthalten.

Nun kann man Berechtigungen im White-List-Modus hinzufügen.

Aber letztendlich kommt es immer auf die Anforderungen an und es gibt da kein wirkliches falsch oder richtig. Eher wie aufwendig die Einrichtung und Pflege sind und wie übersichtlich etwas ist.

Stefan