NTFS - Berechtigungen - Vererbung - Design und Performance frage
Hallo Zusammen,
unsere Führungsebene plant eine Umstrukturierung des Dateiservers. Das favorisierte Modell lässt bei mir die grauen Haare wachsen. Folgendes soll umgesetzt werden.
Freigabe:
- Ebene 1
- Ebene 2 (Ordner 1 bis ca. 50.000)
- Ebene 3 - Abteilung A
- Ebene 3 - Abteilung B
- Ebene 3 - Abteilung C
- Ebene 3 - Abteilung D
Die Problematik befindet sich auf Ebene 3, wo für jeden Ordner eigene Zugrifssberechtigungen benötigt werden. Diese Unterordner sollen in jedem Ordner, der auch auf Ebene 2 vorhanden ist, erstellt werden. Vom Design her grauenhaft, da man dadurch tausende Ordner mit deaktivierter vererbung generiert.
Hier ist die Frage, wirkt sich sowas auch auf die Performance aus? Gibt es noch mehr negative Symptome würde man das so umsetzen?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden. Was aber zum einen wohl mit dem Windows Explorer nicht möglich ist und zum anderen hätte der User auch nicht das recht in alle Unterordner zu gelangen. Hier würde mir zwar eine Serverseitige Skriptlösung einfallen, aber ich möchte lieber kompeltt darauf verzichten.
Normalerweise würde man logischerweise Ebene 2 und 3 vertauschen, damit die Vererbung intakt bleibt. Das ist aber nicht gewünscht, da die Dateien zusammenbleiben sollen (bzw. nur eine Ebene voneinander getrennt sein sollen).
Gruß
Xearo
unsere Führungsebene plant eine Umstrukturierung des Dateiservers. Das favorisierte Modell lässt bei mir die grauen Haare wachsen. Folgendes soll umgesetzt werden.
Freigabe:
- Ebene 1
- Ebene 2 (Ordner 1 bis ca. 50.000)
- Ebene 3 - Abteilung A
- Ebene 3 - Abteilung B
- Ebene 3 - Abteilung C
- Ebene 3 - Abteilung D
Die Problematik befindet sich auf Ebene 3, wo für jeden Ordner eigene Zugrifssberechtigungen benötigt werden. Diese Unterordner sollen in jedem Ordner, der auch auf Ebene 2 vorhanden ist, erstellt werden. Vom Design her grauenhaft, da man dadurch tausende Ordner mit deaktivierter vererbung generiert.
Hier ist die Frage, wirkt sich sowas auch auf die Performance aus? Gibt es noch mehr negative Symptome würde man das so umsetzen?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden. Was aber zum einen wohl mit dem Windows Explorer nicht möglich ist und zum anderen hätte der User auch nicht das recht in alle Unterordner zu gelangen. Hier würde mir zwar eine Serverseitige Skriptlösung einfallen, aber ich möchte lieber kompeltt darauf verzichten.
Normalerweise würde man logischerweise Ebene 2 und 3 vertauschen, damit die Vererbung intakt bleibt. Das ist aber nicht gewünscht, da die Dateien zusammenbleiben sollen (bzw. nur eine Ebene voneinander getrennt sein sollen).
Gruß
Xearo
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7871459375
Url: https://administrator.de/forum/ntfs-berechtigungen-vererbung-design-und-performance-frage-7871459375.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
13 Kommentare
Neuester Kommentar
Hi
nein, das ist gegen jede best practice.
Das blickt ganz schnell keine Sau mehr wer wo Rechte hat.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Vererbungsunterbrechung ist zu meiden wie der Teufel das Weihwasser.
Berechtigungen werden auf maximal 3 Ebenen nach unten vergeben.
Es wird niemals ein User direkt berechtigt.
Jeder Ordner hat eine benamste eigene Berechtigungsgruppe und in diese kommen die eigentlichen Berechtigten
Schau dir Mal das Tool Tenfold an.
Das Bildet die Gruppen selbst und das nach Best-Practices.
Templates sind da auch möglich
nein, das ist gegen jede best practice.
Das blickt ganz schnell keine Sau mehr wer wo Rechte hat.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Vererbungsunterbrechung ist zu meiden wie der Teufel das Weihwasser.
Berechtigungen werden auf maximal 3 Ebenen nach unten vergeben.
Es wird niemals ein User direkt berechtigt.
Jeder Ordner hat eine benamste eigene Berechtigungsgruppe und in diese kommen die eigentlichen Berechtigten
Schau dir Mal das Tool Tenfold an.
Das Bildet die Gruppen selbst und das nach Best-Practices.
Templates sind da auch möglich
Moin,
es wäre jetzt mal interessant zu wissen, was Ebene 2 so z.B. wäre. Das werden doch keine extra Firmen oder Organisationen sein, oder?
Sollen denn die Berechtigungen in Ebene 3 jedes Mal gleich sein (also 2.1-A = 2.2-A, 2.1-B = 2.2-B, usw.) oder sollen die Berechtigungen für 2.1-A und 2.2-A (2.1-B <> 2.2-B, usw.) dann auch verschieden sein können?
Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja nicht vorkommen.
E.
es wäre jetzt mal interessant zu wissen, was Ebene 2 so z.B. wäre. Das werden doch keine extra Firmen oder Organisationen sein, oder?
Sollen denn die Berechtigungen in Ebene 3 jedes Mal gleich sein (also 2.1-A = 2.2-A, 2.1-B = 2.2-B, usw.) oder sollen die Berechtigungen für 2.1-A und 2.2-A (2.1-B <> 2.2-B, usw.) dann auch verschieden sein können?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden.
Das Anlegen der Ordner ist das Eine. Die Berechtigungen dafür das Andere. Du müsstest dem "normalen" Benutzer das Recht erteilen, die NTFS-Berechtigungen ändern zu können. Sowas kann gewollt sein (z.B. für s.g. "data owner"), oftmals aber nicht.Hier ist die Frage, wirkt sich sowas auch auf die Performance aus?
Gar nicht. Dem Fileserver ist es egal, wie die ACL zustande kommt. Er wertet sie aus und wendet sie an.Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja nicht vorkommen.
E.
Hi,
Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Das habe ich genau andersrum im Kopf. Denn zumindest unter Windows kann man nicht direkt in den Pfad springen, sondern braucht dafür eine neue Freigabe.Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Zitat von @LordXearo:
Dafür verteilt man dann in Ebene 1 das recht Lesen und wendet es nur auf dem Ordner an (Nicht auf Unterordner + Dateien)
Dann kann aber jeder zumindest alles dort sehen.Dafür verteilt man dann in Ebene 1 das recht Lesen und wendet es nur auf dem Ordner an (Nicht auf Unterordner + Dateien)
Wie verhindert man die Zugriffe auf "Gehaltsplanung 2023" für die Leute? Das müsste ja dann in eine extra Freigabe.
Zitat von @Drohnald:
Hi,
Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Hi,
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Das habe ich genau andersrum im Kopf. Denn zumindest unter Windows kann man nicht direkt in den Pfad springen, sondern braucht dafür eine neue Freigabe.Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Dafür gibt es die Listrechte, also unter Erweitert - List folders. Da macht man eine entsprechende Gruppe die xxxx_li heisst und nur auf dem entsprechenden Ordner ohne Vererbung gilt. Und in die hängt man alle Gruppen ein die unterhalb sind. Damit können alle user durch die Baumstruktur navigieren ohne Zugriff auf den Inhalt zu haben
Nein, man kann überhaupt keine Unterordner sehen. Du kannst nur die unterordner sehen, wo du wieder Berechtigungen für hast. Zumindest wenn du Access Based Enumeration auf dem Dateiserver aktiviert hast.
Das funktioniert aber nur auf der obersten Ebene, wo dann keine Dateien liegen dürfen und die Vererbung deaktiviert sein muss, oder nicht?Zusätzlich greift dann der Hinweis von @emeriks: Man braucht den direktlink um die Zwischenebenen zu überspringen.
Mit Listrechte wie von @SeaStorm sieht man wiederum alles, auch worauf man keinen Zugriff hat.
Persönlich finde ich das extrem unübersichtlich. Meine Vorstellung läuft da eher wie eine Straße: Ist die Zufahrt gesperrt, komm ich auch nicht dahinter. Wenn auf Ebene 3 mehr Leute Zugriff haben als auf Ebene 2, fühlt sich das für mich komisch an.
Aber das sind wohl eher persönliche Vorlieben, gibt sicher Gründe, dass man es so macht. Ist aber eigentlich nicht Thema hier, wollte den Thread nicht kapern.
Mit Listrechte wie von @SeaStorm sieht man wiederum alles, auch worauf man keinen Zugriff hat.
Nein.Wenn überhaupt, dann nur die Ordner.
Mit aktivem ABE dann auch nur die, auf die man Zugriff hat
List-Rechte sollte man immer nur "für diesem Ordner" erteilen.
Wir machen das bei uns so:
Berechtigungsgruppen für List-Recht --> "nur für diesen Ordner"
Berechtigungsgruppen für List-, Lese- oder Änder-Recht für untergeordnete Ordner. Diese Gruppen in die Gruppen für List-Recht des übergeordneten Ordners verschachteln.
Damit erteilen wir jedes Mal, wenn wir einen Benutzer in eine Gruppe für einen untergeordneten Ordner (Lese- oder Änder-Recht) hinzufügen, automatisch auch List-Rechte für alle übergeordneten Ordner.
Wir machen das bei uns so:
Berechtigungsgruppen für List-Recht --> "nur für diesen Ordner"
Berechtigungsgruppen für List-, Lese- oder Änder-Recht für untergeordnete Ordner. Diese Gruppen in die Gruppen für List-Recht des übergeordneten Ordners verschachteln.
Damit erteilen wir jedes Mal, wenn wir einen Benutzer in eine Gruppe für einen untergeordneten Ordner (Lese- oder Änder-Recht) hinzufügen, automatisch auch List-Rechte für alle übergeordneten Ordner.