5
NTFS Permission Konzept und Tool mit AD Anbindung
Hallo zusammen,
wir sind gerade dabei die Berechtigungen auf dem FileServer neu zu setzen und das Berechtigungs-Konzept komplett neu aufzubauen.
Ich weiss es auch externe Tools welche sehr hilfreich sind, sobald die Berechtigungsgeschichten in grösseren ADs sehr undurchsichtig werden.
Kennt ihr ein solches Tool, welches sich für den Einsatz von Vergabe und Übersicht der Berechtigungsgruppen sehr gut bewährt?
Zudem hab ich direkt ein kleines Beispiel von einer Berechtigungseinstellung mit mehreren AD-Security Groups. Wie genau würdet ihr dabei vorgehen:
Es soll im AD eine SecurityGroup "Master" für eine Abteilung geben welche mehrere Untergruppen beeinhaltet (Unterabteilungen).
In den Abteilungs-Untergruppen soll es nochmals Untergruppen geben für die verschieden Fachbereiche der Abteilung.
Also kurz skizziert soll es so aussehen:
Wie muss ich nun die Berechtigung setzen, dass keiner von anderen Abteilungen Zugriff auf die "Master" Gruppe hat und auch kein Zugriff auf die Untergruppen von "Master" hat und
die AD-USer welche in der Abteilung "Master" arbeiten sollen auf die "Master" Gruppe nur Berechtigungen haben damit sie auf die Shares von ihren Untergruppen zugreifen können.
Ich hoffe ihr wisst was ich meine.
Wie lässt sich das in den NTFS Berechtigungen am besten bewerkstelligen?
Gibt es ein Tool welches sich eignet um nicht den Überblick mit der NTFS Berechtigungen im AD und allgemein auf den MS-File Servern zu verlieren?
Danke und Gruss
staybb
wir sind gerade dabei die Berechtigungen auf dem FileServer neu zu setzen und das Berechtigungs-Konzept komplett neu aufzubauen.
Ich weiss es auch externe Tools welche sehr hilfreich sind, sobald die Berechtigungsgeschichten in grösseren ADs sehr undurchsichtig werden.
Kennt ihr ein solches Tool, welches sich für den Einsatz von Vergabe und Übersicht der Berechtigungsgruppen sehr gut bewährt?
Zudem hab ich direkt ein kleines Beispiel von einer Berechtigungseinstellung mit mehreren AD-Security Groups. Wie genau würdet ihr dabei vorgehen:
Es soll im AD eine SecurityGroup "Master" für eine Abteilung geben welche mehrere Untergruppen beeinhaltet (Unterabteilungen).
In den Abteilungs-Untergruppen soll es nochmals Untergruppen geben für die verschieden Fachbereiche der Abteilung.
Also kurz skizziert soll es so aussehen:
Gruppe "Master" ---> Untergruppe "A"
---> Untergruppe "AB"
---> Untergruppe "AC"
---> Untergruppe "B"
---> Untergruppe "BB"
---> Untergruppe "BC"
---> Untergruppe "C"
---> Untergruppe "CB"
---> Untergruppe "CC"
---> Untergruppe "D"
---> Untergruppe "DB"
---> Untergruppe "DC"
---> Untergruppe "E"
---> Untergruppe "DB"
---> Untergruppe "DC" Wie muss ich nun die Berechtigung setzen, dass keiner von anderen Abteilungen Zugriff auf die "Master" Gruppe hat und auch kein Zugriff auf die Untergruppen von "Master" hat und
die AD-USer welche in der Abteilung "Master" arbeiten sollen auf die "Master" Gruppe nur Berechtigungen haben damit sie auf die Shares von ihren Untergruppen zugreifen können.
Ich hoffe ihr wisst was ich meine.
Wie lässt sich das in den NTFS Berechtigungen am besten bewerkstelligen?
Gibt es ein Tool welches sich eignet um nicht den Überblick mit der NTFS Berechtigungen im AD und allgemein auf den MS-File Servern zu verlieren?
Danke und Gruss
staybb
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 524690
Url: https://administrator.de/contentid/524690
Ausgedruckt am: 24.11.2024 um 05:11 Uhr
5 Kommentare
Neuester Kommentar
Hi!
Wir behalten den Überblick einfach, weil wir für sowas Prozesse haben die ein bestimmtes Vorgehen vorschreiben. Natürlich wird der Wald mit der Zeit etwas dichter, aber mit ein paar Regeln und Richtlinien sollte das überschaubar bleiben.
Alles ungetestet! vielleicht wirst du hier fündig: https://www.portablefreeware.com/index.php?id=2844
Wenn ich dein Beispiel richtig verstehe, dann willst du folgendes:
Richtig?
Es gibt natürlich verschiedene Ansätze. Ich würde es vermutlich so machen, dass die Fachbereiche in OUs unterteilt sind. Die OUs entsprechend auf die SecurityGroups Delegieren (oder umgekehrt). Verschiebst du nun User XY in die AD-Gruppe DB, hat er nur noch auf DB Zugriff.
Grüße!
Gibt es ein Tool welches sich eignet um nicht den Überblick mit der NTFS Berechtigungen im AD und allgemein auf den MS-File Servern zu verlieren?
Wir behalten den Überblick einfach, weil wir für sowas Prozesse haben die ein bestimmtes Vorgehen vorschreiben. Natürlich wird der Wald mit der Zeit etwas dichter, aber mit ein paar Regeln und Richtlinien sollte das überschaubar bleiben.
Alles ungetestet! vielleicht wirst du hier fündig: https://www.portablefreeware.com/index.php?id=2844
Wenn ich dein Beispiel richtig verstehe, dann willst du folgendes:
- Abteilung A soll im "Master" auf "Untergruppe A" Zugriff haben, aber nicht auf die anderen
- Dito für Abteilung B, C, D, E
- Die einzelnen Fachbereiche der Abteilungen sollen nur auf ihre Shares (Untergruppe XY) Zugriff haben.
- Auf die übergeordneten Gruppen "Master" "Untergruppe X" soll niemand Zugriff haben
Richtig?
Es gibt natürlich verschiedene Ansätze. Ich würde es vermutlich so machen, dass die Fachbereiche in OUs unterteilt sind. Die OUs entsprechend auf die SecurityGroups Delegieren (oder umgekehrt). Verschiebst du nun User XY in die AD-Gruppe DB, hat er nur noch auf DB Zugriff.
Grüße!
Moin,
als Tool habe ich ein selbstgeschriebenes Skript, das allerdings nur dann richtig funktioniert, wenn meine Nomenklatur eingehalten wird.
Zum Problem der Verschachtelung. Da braucht es ein wenig Hirnschmalz, damit das auf die realen Verhältnisse angewandt werden kann. Aber das Prinzip ist Folgendes:
Ich habe, sagen wir mal in der Abteilung drei Unterabteilungen, die sich gegenseitig nicht sehen sollen. Also hat jede ihren eigenen Ordner.
Dabei ist es relativ egal, ob die Ordner unterhalb einer Freigabe liegen oder verteilt im Netz. Für jeden dieser Ordner fügst Du eine lokale Gruppe mit Schreib-Lese-Rechten ein:
Nun bildest Du vier globale Gruppen:
Nun wird die globale Gruppe Mitglied der lokalen Gruppe:
Damit nun die Abteilungsleitung auch Zugriff bekommt, wird die Gruppe g_Abteilungsleitung Mitglied in allen drei Abteilungsgruppen:
Und alles ist gut.
hth
Erik
als Tool habe ich ein selbstgeschriebenes Skript, das allerdings nur dann richtig funktioniert, wenn meine Nomenklatur eingehalten wird.
Zum Problem der Verschachtelung. Da braucht es ein wenig Hirnschmalz, damit das auf die realen Verhältnisse angewandt werden kann. Aber das Prinzip ist Folgendes:
Ich habe, sagen wir mal in der Abteilung drei Unterabteilungen, die sich gegenseitig nicht sehen sollen. Also hat jede ihren eigenen Ordner.
Ordnerstruktur:
Abteilung_1
Abteilung_2
Abteilung_3Dabei ist es relativ egal, ob die Ordner unterhalb einer Freigabe liegen oder verteilt im Netz. Für jeden dieser Ordner fügst Du eine lokale Gruppe mit Schreib-Lese-Rechten ein:
l_rw_abteilung_1
l_rw_abteilung_2
l_rw_abteilung_3Nun bildest Du vier globale Gruppen:
g_Abteilungsleitung
g_Abteilung_1
g_Abteilung_2
g_Abteilung_3Nun wird die globale Gruppe Mitglied der lokalen Gruppe:
g_Abteilung_1 Mitglied von l_rw_abteilung_1
g_Abteilung_2 Mitglied von l_rw_abteilung_2
g_Abteilung_3 Mitglied von l_rw_abteilung_3Damit nun die Abteilungsleitung auch Zugriff bekommt, wird die Gruppe g_Abteilungsleitung Mitglied in allen drei Abteilungsgruppen:
G_Abteilungsleitung Mitglied von g_Abteilung_1, g_Abteilung_2, g_Abteilung_3Und alles ist gut.
hth
Erik
Zitat von @mayho33:
Hi!
Wir behalten den Überblick einfach, weil wir für sowas Prozesse haben die ein bestimmtes Vorgehen vorschreiben. Natürlich wird der Wald mit der Zeit etwas dichter, aber mit ein paar Regeln und Richtlinien sollte das überschaubar bleiben.
Alles ungetestet! vielleicht wirst du hier fündig: https://www.portablefreeware.com/index.php?id=2844
Hi!
Gibt es ein Tool welches sich eignet um nicht den Überblick mit der NTFS Berechtigungen im AD und allgemein auf den MS-File Servern zu verlieren?
Wir behalten den Überblick einfach, weil wir für sowas Prozesse haben die ein bestimmtes Vorgehen vorschreiben. Natürlich wird der Wald mit der Zeit etwas dichter, aber mit ein paar Regeln und Richtlinien sollte das überschaubar bleiben.
Alles ungetestet! vielleicht wirst du hier fündig: https://www.portablefreeware.com/index.php?id=2844
Vielen Dank das werde ich mir mal ansehen.
Wenn ich dein Beispiel richtig verstehe, dann willst du folgendes:
- Abteilung A soll im "Master" auf "Untergruppe A" Zugriff haben, aber nicht auf die anderen
- Dito für Abteilung B, C, D, E
- Die einzelnen Fachbereiche der Abteilungen sollen nur auf ihre Shares (Untergruppe XY) Zugriff haben.
- Auf die übergeordneten Gruppen "Master" "Untergruppe X" soll niemand Zugriff haben
Richtig?
Ja genau richtig so meinte ich es. Ich habe mal eine globale Gruppe "Master" erstellt und erstelle noch für die anderen Gruppen eine globale Gruppe oder sollte ich lokale Gruppen dafür verwenden?
Wie genau würdest du es in der AD abbilden mit den Gruppen anhand dem Beispiel?
Für ein Audit bestehender Rechte gibt es in den "Sysinternals" das Programm "ShareEnum":
https://docs.microsoft.com/en-us/sysinternals/downloads/shareenum
Noch besser ist aber, die Rechte per Script zu setzten und niemandem "Vollzugriff" zu gewähren, sondern immer nur maximal "Ändern". Meine Scripte arbeiten mit "icacls", aber mit Powershell soll's auch gehen
Wenn ihr Geld ausgeben wollt, schaut euch
https://www.migraven.com/best-practice-berechtigungsvergabe-ntfs-share-f ...
an. Auf alle Fälle gibt's dort auch gute Tutorials, wie eine vernünftige Rechtestruktur aussehen kann.
https://docs.microsoft.com/en-us/sysinternals/downloads/shareenum
Noch besser ist aber, die Rechte per Script zu setzten und niemandem "Vollzugriff" zu gewähren, sondern immer nur maximal "Ändern". Meine Scripte arbeiten mit "icacls", aber mit Powershell soll's auch gehen
Wenn ihr Geld ausgeben wollt, schaut euch
https://www.migraven.com/best-practice-berechtigungsvergabe-ntfs-share-f ...
an. Auf alle Fälle gibt's dort auch gute Tutorials, wie eine vernünftige Rechtestruktur aussehen kann.
Moin,
du kannst zusätzlich auch noch mit "Access Based Share Enumeration" arbeiten. Dann sieht jeder auf dem Share nur noch das, worauf er auch Zugriff hat.
Gruß
Spirit
du kannst zusätzlich auch noch mit "Access Based Share Enumeration" arbeiten. Dann sieht jeder auf dem Share nur noch das, worauf er auch Zugriff hat.
Gruß
Spirit
1
