13
NTFS - Berechtigungen - Vererbung - Design und Performance frage
Hallo Zusammen,
unsere Führungsebene plant eine Umstrukturierung des Dateiservers. Das favorisierte Modell lässt bei mir die grauen Haare wachsen. Folgendes soll umgesetzt werden.
Freigabe:
- Ebene 1
- Ebene 2 (Ordner 1 bis ca. 50.000)
- Ebene 3 - Abteilung A
- Ebene 3 - Abteilung B
- Ebene 3 - Abteilung C
- Ebene 3 - Abteilung D
Die Problematik befindet sich auf Ebene 3, wo für jeden Ordner eigene Zugrifssberechtigungen benötigt werden. Diese Unterordner sollen in jedem Ordner, der auch auf Ebene 2 vorhanden ist, erstellt werden. Vom Design her grauenhaft, da man dadurch tausende Ordner mit deaktivierter vererbung generiert.
Hier ist die Frage, wirkt sich sowas auch auf die Performance aus? Gibt es noch mehr negative Symptome würde man das so umsetzen?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden. Was aber zum einen wohl mit dem Windows Explorer nicht möglich ist und zum anderen hätte der User auch nicht das recht in alle Unterordner zu gelangen. Hier würde mir zwar eine Serverseitige Skriptlösung einfallen, aber ich möchte lieber kompeltt darauf verzichten.
Normalerweise würde man logischerweise Ebene 2 und 3 vertauschen, damit die Vererbung intakt bleibt. Das ist aber nicht gewünscht, da die Dateien zusammenbleiben sollen (bzw. nur eine Ebene voneinander getrennt sein sollen).
Gruß
Xearo
unsere Führungsebene plant eine Umstrukturierung des Dateiservers. Das favorisierte Modell lässt bei mir die grauen Haare wachsen. Folgendes soll umgesetzt werden.
Freigabe:
- Ebene 1
- Ebene 2 (Ordner 1 bis ca. 50.000)
- Ebene 3 - Abteilung A
- Ebene 3 - Abteilung B
- Ebene 3 - Abteilung C
- Ebene 3 - Abteilung D
Die Problematik befindet sich auf Ebene 3, wo für jeden Ordner eigene Zugrifssberechtigungen benötigt werden. Diese Unterordner sollen in jedem Ordner, der auch auf Ebene 2 vorhanden ist, erstellt werden. Vom Design her grauenhaft, da man dadurch tausende Ordner mit deaktivierter vererbung generiert.
Hier ist die Frage, wirkt sich sowas auch auf die Performance aus? Gibt es noch mehr negative Symptome würde man das so umsetzen?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden. Was aber zum einen wohl mit dem Windows Explorer nicht möglich ist und zum anderen hätte der User auch nicht das recht in alle Unterordner zu gelangen. Hier würde mir zwar eine Serverseitige Skriptlösung einfallen, aber ich möchte lieber kompeltt darauf verzichten.
Normalerweise würde man logischerweise Ebene 2 und 3 vertauschen, damit die Vererbung intakt bleibt. Das ist aber nicht gewünscht, da die Dateien zusammenbleiben sollen (bzw. nur eine Ebene voneinander getrennt sein sollen).
Gruß
Xearo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7871459375
Url: https://administrator.de/contentid/7871459375
Printed on: April 27, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hi
nein, das ist gegen jede best practice.
Das blickt ganz schnell keine Sau mehr wer wo Rechte hat.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Vererbungsunterbrechung ist zu meiden wie der Teufel das Weihwasser.
Berechtigungen werden auf maximal 3 Ebenen nach unten vergeben.
Es wird niemals ein User direkt berechtigt.
Jeder Ordner hat eine benamste eigene Berechtigungsgruppe und in diese kommen die eigentlichen Berechtigten
Schau dir Mal das Tool Tenfold an.
Das Bildet die Gruppen selbst und das nach Best-Practices.
Templates sind da auch möglich
nein, das ist gegen jede best practice.
Das blickt ganz schnell keine Sau mehr wer wo Rechte hat.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Vererbungsunterbrechung ist zu meiden wie der Teufel das Weihwasser.
Berechtigungen werden auf maximal 3 Ebenen nach unten vergeben.
Es wird niemals ein User direkt berechtigt.
Jeder Ordner hat eine benamste eigene Berechtigungsgruppe und in diese kommen die eigentlichen Berechtigten
Schau dir Mal das Tool Tenfold an.
Das Bildet die Gruppen selbst und das nach Best-Practices.
Templates sind da auch möglich
2
Hi,
danke für deinen Input. Bis auf das Tool hab ich nichts neues gehört. Die Regeln werden sonst auch gelebt und wir Erstellern für Ordnern mit abweichenden Berechtigungen eigene Gruppen.
Hier soll es mehr darum gehen was sonst noch schief laufen kann und was vielleicht eine bessere Alternative wäre.
danke für deinen Input. Bis auf das Tool hab ich nichts neues gehört. Die Regeln werden sonst auch gelebt und wir Erstellern für Ordnern mit abweichenden Berechtigungen eigene Gruppen.
Hier soll es mehr darum gehen was sonst noch schief laufen kann und was vielleicht eine bessere Alternative wäre.
Moin,
es wäre jetzt mal interessant zu wissen, was Ebene 2 so z.B. wäre. Das werden doch keine extra Firmen oder Organisationen sein, oder?
Sollen denn die Berechtigungen in Ebene 3 jedes Mal gleich sein (also 2.1-A = 2.2-A, 2.1-B = 2.2-B, usw.) oder sollen die Berechtigungen für 2.1-A und 2.2-A (2.1-B <> 2.2-B, usw.) dann auch verschieden sein können?
Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja nicht vorkommen.
E.
es wäre jetzt mal interessant zu wissen, was Ebene 2 so z.B. wäre. Das werden doch keine extra Firmen oder Organisationen sein, oder?
Sollen denn die Berechtigungen in Ebene 3 jedes Mal gleich sein (also 2.1-A = 2.2-A, 2.1-B = 2.2-B, usw.) oder sollen die Berechtigungen für 2.1-A und 2.2-A (2.1-B <> 2.2-B, usw.) dann auch verschieden sein können?
Es ist vorgesehen, dass ein normaler User die Möglichkeit hätte, einen "Ebene 2 Vorlagen" Ordner zu kopieren, damit die Unterordner direkt richtig angelegt werden.
Das Anlegen der Ordner ist das Eine. Die Berechtigungen dafür das Andere. Du müsstest dem "normalen" Benutzer das Recht erteilen, die NTFS-Berechtigungen ändern zu können. Sowas kann gewollt sein (z.B. für s.g. "data owner"), oftmals aber nicht.Hier ist die Frage, wirkt sich sowas auch auf die Performance aus?
Gar nicht. Dem Fileserver ist es egal, wie die ACL zustande kommt. Er wertet sie aus und wendet sie an.Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja nicht vorkommen.
E.
Hi,
Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Das habe ich genau andersrum im Kopf. Denn zumindest unter Windows kann man nicht direkt in den Pfad springen, sondern braucht dafür eine neue Freigabe.Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Moin emeriks,
die Berechtigungen für die Ordner auf Ebene 3 können identisch sein. Ich würde dann nur einmalig Berechtigungsgruppen anlegen und dann für alle "Ebene 3 Ordner" verwenden.
Es handelt sich nicht um extra Firmen oder Organisationen. Es handelt sich quasi um Produktdaten. Diese dürfen aber nicht von allen Abteilungen komplett eingesehen werden. Die Benutzer, die dass Recht haben alles zu sehen, sollen sich aber nicht durch viele unterordner Klicken müssen, um eine Gesamtübersicht aller Dateien zu bekommen. Wahrscheinlich wäre das Konstrukt in einem DMS oder Sharepoint Server besser abzubilden.
Okay. Aber diejenigen, die Ordner anlegen können, haben leider nicht das Recht selbst in jeden Ordner zu gelangen. Daher wird das wohl nicht gehen?!
Ich würde jetzt auf dem Dateiserver ein Skript laufen lassen, dass eine Textdatei oder einen Ordner überwacht. Dort trägt man nur noch den Ordnernamen ein, und das Skript erstellt diesem samt Unterordner und Berechtigugnsstruktur. Denke das sollte unproblematisch sein.
Danke, dann würde dem Konzept wohl nichts im Wege stehen.
Ich habe auch mal 50.000 leere Ordner in eine Ebene gepackt und mir da Verzeichnis über VPN+Netzwerk anlegen lassen. Das funktioniere auch in 1-2 Sekunden.
Gruß
die Berechtigungen für die Ordner auf Ebene 3 können identisch sein. Ich würde dann nur einmalig Berechtigungsgruppen anlegen und dann für alle "Ebene 3 Ordner" verwenden.
Es handelt sich nicht um extra Firmen oder Organisationen. Es handelt sich quasi um Produktdaten. Diese dürfen aber nicht von allen Abteilungen komplett eingesehen werden. Die Benutzer, die dass Recht haben alles zu sehen, sollen sich aber nicht durch viele unterordner Klicken müssen, um eine Gesamtübersicht aller Dateien zu bekommen. Wahrscheinlich wäre das Konstrukt in einem DMS oder Sharepoint Server besser abzubilden.
Das Anlegen der Ordner ist das Eine. Die Berechtigungen dafür das Andere. Du müsstest dem "normalen" >Benutzer das Recht erteilen, die NTFS-Berechtigungen ändern zu können. Sowas kann gewollt sein (z.B. für s.g. >"data owner"), oftmals aber nicht.
Okay. Aber diejenigen, die Ordner anlegen können, haben leider nicht das Recht selbst in jeden Ordner zu gelangen. Daher wird das wohl nicht gehen?!
Ich würde jetzt auf dem Dateiserver ein Skript laufen lassen, dass eine Textdatei oder einen Ordner überwacht. Dort trägt man nur noch den Ordnernamen ein, und das Skript erstellt diesem samt Unterordner und Berechtigugnsstruktur. Denke das sollte unproblematisch sein.
Gar nicht. Dem Fileserver ist es egal, wie die ACL zustande kommt. Er wertet sie aus und wendet sie an.
Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung >auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja >nicht vorkommen.
Höchstens, wenn die ACL's jeweils sehr viele Einträge haben (ca. > 10 Stk.) könnte sich das negativ auf die Leistung >auswirken, wenn sehr viele Zugriffe gleichzetig zu erwarten sind. Aber mittels A-G-DL-P sollten solche ACL's ja >nicht vorkommen.
Danke, dann würde dem Konzept wohl nichts im Wege stehen.
Ich habe auch mal 50.000 leere Ordner in eine Ebene gepackt und mir da Verzeichnis über VPN+Netzwerk anlegen lassen. Das funktioniere auch in 1-2 Sekunden.
Gruß
Zitat von @Drohnald:
Hi,
Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Hi,
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Das habe ich genau andersrum im Kopf. Denn zumindest unter Windows kann man nicht direkt in den Pfad springen, sondern braucht dafür eine neue Freigabe.Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Dafür verteilt man dann in Ebene 1 das recht Lesen und wendet es nur auf dem Ordner an (Nicht auf Unterordner + Dateien)
1Zitat von @LordXearo:
Dafür verteilt man dann in Ebene 1 das recht Lesen und wendet es nur auf dem Ordner an (Nicht auf Unterordner + Dateien)
Dann kann aber jeder zumindest alles dort sehen.Dafür verteilt man dann in Ebene 1 das recht Lesen und wendet es nur auf dem Ordner an (Nicht auf Unterordner + Dateien)
Wie verhindert man die Zugriffe auf "Gehaltsplanung 2023" für die Leute? Das müsste ja dann in eine extra Freigabe.
Nein, man kann überhaupt keine Unterordner sehen. Du kannst nur die unterordner sehen, wo du wieder Berechtigungen für hast. Zumindest wenn du Access Based Enumeration auf dem Dateiserver aktiviert hast.
1Zitat von @Drohnald:
Hi,
Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Hi,
Faustregel für Unterordner ist: rechte können hinzugefügt werden, niemals entfernt.
Das habe ich genau andersrum im Kopf. Denn zumindest unter Windows kann man nicht direkt in den Pfad springen, sondern braucht dafür eine neue Freigabe.Sprich: Habe ich auf Ebene 1 keinen Zugriff aber auf Ebene 2 schon, hilft mir das nichts, weil ich da nicht hinkomme.
Dafür gibt es die Listrechte, also unter Erweitert - List folders. Da macht man eine entsprechende Gruppe die xxxx_li heisst und nur auf dem entsprechenden Ordner ohne Vererbung gilt. Und in die hängt man alle Gruppen ein die unterhalb sind. Damit können alle user durch die Baumstruktur navigieren ohne Zugriff auf den Inhalt zu haben
1
Doch, unter Windows ist es möglich direkt in einen Unterordner zu springen, auch wenn man für übergeordnete Ordner keine Rechte hat. Man kann sich nur nicht "hangeln" sondern muss direkt "rein springen". z.B. über eine Verknüpfung.
1Nein, man kann überhaupt keine Unterordner sehen. Du kannst nur die unterordner sehen, wo du wieder Berechtigungen für hast. Zumindest wenn du Access Based Enumeration auf dem Dateiserver aktiviert hast.
Das funktioniert aber nur auf der obersten Ebene, wo dann keine Dateien liegen dürfen und die Vererbung deaktiviert sein muss, oder nicht?Zusätzlich greift dann der Hinweis von @emeriks: Man braucht den direktlink um die Zwischenebenen zu überspringen.
Mit Listrechte wie von @SeaStorm sieht man wiederum alles, auch worauf man keinen Zugriff hat.
Persönlich finde ich das extrem unübersichtlich. Meine Vorstellung läuft da eher wie eine Straße: Ist die Zufahrt gesperrt, komm ich auch nicht dahinter. Wenn auf Ebene 3 mehr Leute Zugriff haben als auf Ebene 2, fühlt sich das für mich komisch an.
Aber das sind wohl eher persönliche Vorlieben, gibt sicher Gründe, dass man es so macht. Ist aber eigentlich nicht Thema hier, wollte den Thread nicht kapern.
Mit Listrechte wie von @SeaStorm sieht man wiederum alles, auch worauf man keinen Zugriff hat.
Nein.Wenn überhaupt, dann nur die Ordner.
Mit aktivem ABE dann auch nur die, auf die man Zugriff hat
List-Rechte sollte man immer nur "für diesem Ordner" erteilen.
Wir machen das bei uns so:
Berechtigungsgruppen für List-Recht --> "nur für diesen Ordner"
Berechtigungsgruppen für List-, Lese- oder Änder-Recht für untergeordnete Ordner. Diese Gruppen in die Gruppen für List-Recht des übergeordneten Ordners verschachteln.
Damit erteilen wir jedes Mal, wenn wir einen Benutzer in eine Gruppe für einen untergeordneten Ordner (Lese- oder Änder-Recht) hinzufügen, automatisch auch List-Rechte für alle übergeordneten Ordner.
Wir machen das bei uns so:
Berechtigungsgruppen für List-Recht --> "nur für diesen Ordner"
Berechtigungsgruppen für List-, Lese- oder Änder-Recht für untergeordnete Ordner. Diese Gruppen in die Gruppen für List-Recht des übergeordneten Ordners verschachteln.
Damit erteilen wir jedes Mal, wenn wir einen Benutzer in eine Gruppe für einen untergeordneten Ordner (Lese- oder Änder-Recht) hinzufügen, automatisch auch List-Rechte für alle übergeordneten Ordner.