NTFS Berechtigungen in Unterordnern
Guten Tag zusammen,
leider habe ich nochmal eine Frage zu NTFS Berechtigungen, die ich mir mit der Suchfunktion nicht beantworten konnte.
Geschäftsführung wünscht sich eine neue Ordnerstruktur, die an das Organigram des Vereins angepasst ist.
Das müsste demnach etwa so aussehen:
Eine Struktur mit 2 Ebenen, in der die Zugriffsrechte für jeden o.g. Ordner individuell geregelt sein soll.
Eine 3. Ebene konnte ich in längeren Diskussionen bis jetzt verhindern, ist aber noch nicht ganz vom Tisch.
[Frage 1] ist nun, wie lege ich sinnvollerweise die Berechtigungen an?
Ein Ansatz war:
- ich packe alle User in eine Gruppe "Alle" und gebe dieser Gruppe das Recht, in allen Ordnern Ebene 1 "Ordnerinhalte
anzeigen"
- Für alle Ordner in den Ebenen 2, separate Gruppen anlegen (grp_A_Finanzen, grp_A_Klienten, ... grp_B_Finanzen, ...)
Die User könnten in alle Ordner (mit Vererbung auch in Unterordner) schauen, aber zunächst keine Dateien öffnen. Erst durch Mitgliedschaft in den Gruppen der Ebene 2 dort auch Dateien öffnen.
Und wie steht ihr zu einer 3. Ebene mit separaten Berechtigungen?
Damit multipliziert sich die Anzahl der Gruppen und ich sehe Unübersichtlichkeit und Chaos heranziehen.
[Frage 2] In einem Ordner "Scanner" gibt es für jeden User einen persönlichen Ordner.
Jeder User kommt nur in seinen Ordner.
Eine Gruppe "Verwaltung" soll bei bestimmten Usern auf die Unterordner "Verwaltung Zugriff bekommen.
Wenn ich der Gruppe grp_Verwaltung auf den Ordner Scanner das Recht "Ordnerinhalte anzeigen - (Ververbung an)" gebe, lässt sich das offenbar auf die Unterordner Verwaltung nicht auf "Bearbeiten" aufweiten. Ist das nicht möglich?
Danke!
leider habe ich nochmal eine Frage zu NTFS Berechtigungen, die ich mir mit der Suchfunktion nicht beantworten konnte.
Geschäftsführung wünscht sich eine neue Ordnerstruktur, die an das Organigram des Vereins angepasst ist.
Das müsste demnach etwa so aussehen:
- Abteilung A
+ Finanzen
+ Klienten
+ Mitarbeiter
+ ...
- Abteilung B
+ Finanzen
+ Klienten
+ Mitarbeiter
+ ...
- Abteilung C
+ ...
Eine Struktur mit 2 Ebenen, in der die Zugriffsrechte für jeden o.g. Ordner individuell geregelt sein soll.
Eine 3. Ebene konnte ich in längeren Diskussionen bis jetzt verhindern, ist aber noch nicht ganz vom Tisch.
[Frage 1] ist nun, wie lege ich sinnvollerweise die Berechtigungen an?
Ein Ansatz war:
- ich packe alle User in eine Gruppe "Alle" und gebe dieser Gruppe das Recht, in allen Ordnern Ebene 1 "Ordnerinhalte
anzeigen"
- Für alle Ordner in den Ebenen 2, separate Gruppen anlegen (grp_A_Finanzen, grp_A_Klienten, ... grp_B_Finanzen, ...)
Die User könnten in alle Ordner (mit Vererbung auch in Unterordner) schauen, aber zunächst keine Dateien öffnen. Erst durch Mitgliedschaft in den Gruppen der Ebene 2 dort auch Dateien öffnen.
Und wie steht ihr zu einer 3. Ebene mit separaten Berechtigungen?
Damit multipliziert sich die Anzahl der Gruppen und ich sehe Unübersichtlichkeit und Chaos heranziehen.
[Frage 2] In einem Ordner "Scanner" gibt es für jeden User einen persönlichen Ordner.
- Scanner
+ User 1
+ Verwaltung
+ User 2
+ Verwaltung
+ User ...
Eine Gruppe "Verwaltung" soll bei bestimmten Usern auf die Unterordner "Verwaltung Zugriff bekommen.
Wenn ich der Gruppe grp_Verwaltung auf den Ordner Scanner das Recht "Ordnerinhalte anzeigen - (Ververbung an)" gebe, lässt sich das offenbar auf die Unterordner Verwaltung nicht auf "Bearbeiten" aufweiten. Ist das nicht möglich?
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8046162929
Url: https://administrator.de/contentid/8046162929
Ausgedruckt am: 10.11.2024 um 01:11 Uhr
9 Kommentare
Neuester Kommentar
Mahlzeit.
Wozu sollen in der Gruppe „Alle“ alle nur Guckrechte bekommen, aber letztlich da nichts machen dürfen? Für mich erklärt sich da der Sinn nicht. Ich denke diese Gruppe ist dazu überflüssig.
Die Anderen Gruppen anlegen ist so sinnvoll. Die User dieser Gruppen können dann auch nicht sehen, was in den Ordnern liegt, auf die sie keine Rechte haben.
Man sollte bei solchen Baumstrukturen immer an die Rechtevererbung denken. Wie das Funktioniert ist sicher tausendfach im Internet bereits gut beschrieben. WIKI hilft da sicher weiter.
Der „Präsident“ bekommt eben rechte auf den Stammordner und damit auf alle Unterordner.
Das gemeine Fußvolk eben nur auf bestimmte, separate Unterordner und dessen Unterordner, kann aber nicht in der Obersten Stammebene rumwurschteln.
Kreuzberger
Wozu sollen in der Gruppe „Alle“ alle nur Guckrechte bekommen, aber letztlich da nichts machen dürfen? Für mich erklärt sich da der Sinn nicht. Ich denke diese Gruppe ist dazu überflüssig.
Die Anderen Gruppen anlegen ist so sinnvoll. Die User dieser Gruppen können dann auch nicht sehen, was in den Ordnern liegt, auf die sie keine Rechte haben.
Man sollte bei solchen Baumstrukturen immer an die Rechtevererbung denken. Wie das Funktioniert ist sicher tausendfach im Internet bereits gut beschrieben. WIKI hilft da sicher weiter.
Der „Präsident“ bekommt eben rechte auf den Stammordner und damit auf alle Unterordner.
Das gemeine Fußvolk eben nur auf bestimmte, separate Unterordner und dessen Unterordner, kann aber nicht in der Obersten Stammebene rumwurschteln.
Kreuzberger
Moin,
üblicherweise so:
Gruppe_A_Finanzen_RW
Gruppe_A_Finanzen_R
Gruppe_A_Klienten_RW
Gruppe_A_Klienten_R
Gruppe_A_Mitarbeiter_RW
Gruppe_A_Mitarbeiter_R
Gruppe_Abteilung_A
Enthalten die 6 Gruppen oben als nur lesen.
Nur wer in einer der 6 Gruppen der Abt A ist, darf überhaupt in den Ordner.
RW = Ändern
R = nur lesen
üblicherweise so:
Gruppe_A_Finanzen_RW
Gruppe_A_Finanzen_R
Gruppe_A_Klienten_RW
Gruppe_A_Klienten_R
Gruppe_A_Mitarbeiter_RW
Gruppe_A_Mitarbeiter_R
Gruppe_Abteilung_A
Enthalten die 6 Gruppen oben als nur lesen.
Nur wer in einer der 6 Gruppen der Abt A ist, darf überhaupt in den Ordner.
RW = Ändern
R = nur lesen
@Aubanan
Um in die 2te eben zu kommen müssen User NICHT auf der ersten ebene Rechte haben. Die rechte setzen hat erst in der 2ten ebne ein und werden von dort aus abwärts vererbt.
Kreuzberger
Um in die 2te eben zu kommen müssen User NICHT auf der ersten ebene Rechte haben. Die rechte setzen hat erst in der 2ten ebne ein und werden von dort aus abwärts vererbt.
Kreuzberger
@Aubanan
Das ist eben der Irrtum.
Lege er testweise eine Ordnerstruktur auf einem Windows Server an und gebe sie OHNE Rechte vom Stammordner aus frei.
Dann gehe er auf einen Ordner der „2ten Ebene“ mit rechter Maustaste und vergebe dort die rechte für eine Gruppe / einen User testweise. Du wirst sehen, das dieser User ohne rechte auf „Ebene 1“ (Stammordner) auf den Ordner der „Ebene 2“ zugreifen kann. Er kann dann auch auf alle weiter unten befindlichen Ordner zugreifen wegen der rechteverwrbung, die immer Abwärts funktioniert.
Kreuzberger
Das ist eben der Irrtum.
Lege er testweise eine Ordnerstruktur auf einem Windows Server an und gebe sie OHNE Rechte vom Stammordner aus frei.
Dann gehe er auf einen Ordner der „2ten Ebene“ mit rechter Maustaste und vergebe dort die rechte für eine Gruppe / einen User testweise. Du wirst sehen, das dieser User ohne rechte auf „Ebene 1“ (Stammordner) auf den Ordner der „Ebene 2“ zugreifen kann. Er kann dann auch auf alle weiter unten befindlichen Ordner zugreifen wegen der rechteverwrbung, die immer Abwärts funktioniert.
Kreuzberger
Zitat von @Aubanan:
So würde das vom Prinzip passen, wobei wir keine Unterscheidung R / RW auf Ebene 2 bräuchten.
Ich richte das aus Prinzip immer so ein. Auch wenn der Kunde sagt, dass er es nicht braucht. Häufig braucht er es dann doch So würde das vom Prinzip passen, wobei wir keine Unterscheidung R / RW auf Ebene 2 bräuchten.
Das Recht R der Gruppe_Abteilung_A auf Ordner Abteilung_A sollte dann nicht weiter auf Ebene 2 vererbt werden - richtig?
Richtig.Das ist beim Einrichten ein bischen nervig Tippkrams weil man die Ordner innerhalb von Abt A immer zuerst alle Rechte wegnehmen muss um dann die Gruppen, Admin und System hinzuzufügen.
Es gibt auch Firmen die sagen jeder darf in Abt A rein um zu sehen was es dort gibt, aber nicht mehr in die Unterordner.
Bei Novell war es früher ja so, dass Ordner für die Du keinen Zugriff hast per default nicht sichtbar waren.
Eine Gruppe Alle R ist einfach umzusetzen.
Einfach jeden in diese Gruppem und diese Gruppe in Gruppe_A_*_R hinzufügen.
Meist will der Chef in dieser Gruppe sein.
Meist muss man stark sein.
Besonders wenn dann die Anfrage kommt, dass Martin, Dirk und Michael ab morgen RW Zugriff auf "\Abteilung A\Finanzen\Lieferanten\LIDL\Einkaufslisten".
Stefan
Das Erste was ich mit den Datenlaufwerken bei Windows-Servern mache ist "Jeder" und "Ersteller" zu entfernen. Nur Admin(s) und System sind im Root enthalten.
Nun kann man Berechtigungen im White-List-Modus hinzufügen.
Aber letztendlich kommt es immer auf die Anforderungen an und es gibt da kein wirkliches falsch oder richtig. Eher wie aufwendig die Einrichtung und Pflege sind und wie übersichtlich etwas ist.
Stefan
Nun kann man Berechtigungen im White-List-Modus hinzufügen.
Aber letztendlich kommt es immer auf die Anforderungen an und es gibt da kein wirkliches falsch oder richtig. Eher wie aufwendig die Einrichtung und Pflege sind und wie übersichtlich etwas ist.
Stefan