Ordnerstrukturen u. Rechte - Best Practise
Hallo zusammen!
Zu erst einmal hoffe ich das ich die richtige Kategorie erwischt habe - falls nicht sorry.
Ich möchte auf diesem Wege einfach mal in Erfahrung bringen wie es Andere handhaben mit der Strukturierung der Abteilungs- und Homelaufwerke in Ihrem Netzwerk, und deren Rechtevergabe.
Momentan habe ich meine Nutzer einmal in Abteilungen geteilt und zum anderen in ein Home-Verzeichnis.
Die Nutzer sind den Abteilungen entsprechend im AD in Gruppen zugeteilt. Home habe ich in "privat" (nur für Nutzer) und "public" (für alle) gegliedert, um die Möglichkeit zu haben Dateizugriffe für nicht Abteilungsmitglieder zu ermöglichen.
Da ich nicht die Menge an Nutzern zu verwalten habe war diese Lösung bis dato immer noch praktikabel. Aber langsam wächst der Aufwand. Wie handhabt Ihr das?
Ich tendiere zurzeit zu der Lösung das Home-Verzeichnis nur noch für den Besitzer freizugeben und die Abteilungsordner um einen freigegebenen Ordner zu erweitern - was ja auch sinnvoller ist. PROBLEM hierbei ist natürlich auch wieder das ich den freigegebenen Ordner nicht immer um einen Ordner "Freigabe Abteilung 1", "Freigabe Abteilung 2" usw. erweitern möchte - da es ja auch immer Nutzer gibt die auch nicht auf diese Freigaben zugreifen sollen.
Ich versuche ein möglichst praktikable Lösung zu finden die auch Ausnahmen zu läßt und möglichst flexible ist.
Wie handhabt Ihr das? Ich freue mich auf Eure Beiträge!
PS: Ich bin mir bewußt das es keine allgemein gültige Lösung gibt, sondern das diese immer im Kontext zur Organisation steht.
Zu erst einmal hoffe ich das ich die richtige Kategorie erwischt habe - falls nicht sorry.
Ich möchte auf diesem Wege einfach mal in Erfahrung bringen wie es Andere handhaben mit der Strukturierung der Abteilungs- und Homelaufwerke in Ihrem Netzwerk, und deren Rechtevergabe.
Momentan habe ich meine Nutzer einmal in Abteilungen geteilt und zum anderen in ein Home-Verzeichnis.
Die Nutzer sind den Abteilungen entsprechend im AD in Gruppen zugeteilt. Home habe ich in "privat" (nur für Nutzer) und "public" (für alle) gegliedert, um die Möglichkeit zu haben Dateizugriffe für nicht Abteilungsmitglieder zu ermöglichen.
Da ich nicht die Menge an Nutzern zu verwalten habe war diese Lösung bis dato immer noch praktikabel. Aber langsam wächst der Aufwand. Wie handhabt Ihr das?
Ich tendiere zurzeit zu der Lösung das Home-Verzeichnis nur noch für den Besitzer freizugeben und die Abteilungsordner um einen freigegebenen Ordner zu erweitern - was ja auch sinnvoller ist. PROBLEM hierbei ist natürlich auch wieder das ich den freigegebenen Ordner nicht immer um einen Ordner "Freigabe Abteilung 1", "Freigabe Abteilung 2" usw. erweitern möchte - da es ja auch immer Nutzer gibt die auch nicht auf diese Freigaben zugreifen sollen.
Ich versuche ein möglichst praktikable Lösung zu finden die auch Ausnahmen zu läßt und möglichst flexible ist.
Wie handhabt Ihr das? Ich freue mich auf Eure Beiträge!
PS: Ich bin mir bewußt das es keine allgemein gültige Lösung gibt, sondern das diese immer im Kontext zur Organisation steht.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72559
Url: https://administrator.de/forum/ordnerstrukturen-u-rechte-best-practise-72559.html
Ausgedruckt am: 25.04.2025 um 02:04 Uhr
4 Kommentare
Neuester Kommentar
Hallo,
wir haben die Erfahrung gemacht, daß man die Art wie Leute in der Abteilung und Abteilungsübergreifend zusammenarbeiten nicht schon vorher als Struktur abbilden kann. Es müsste z.B. auch dort geschützte Kanäle geben. Eine hierarchische "Chefstruktur" oder eine abgeschottete "Abteilungsstruktur" ist praxisfremd.
Bei mir hat jeder sein Home (geschützt) und muss für das Holen oder Weitergeben selbst aktiv werden. Jeder kann seine Daten in einen Pool (freigegebenes Verzeichnis) einer Gruppe (Team, Abteilung, Standort) tun, wenn er es dort zugänglich machen will. Wenn er es direkt an eine Person adressieren will nutzt er die interne Mail mit Anhang.
Falls einmal etwas aus einem geschützten Bereich benötigt wird (Krankheit, Urlaub), muss das offiziell über einen Admin laufen.
Speedhub
wir haben die Erfahrung gemacht, daß man die Art wie Leute in der Abteilung und Abteilungsübergreifend zusammenarbeiten nicht schon vorher als Struktur abbilden kann. Es müsste z.B. auch dort geschützte Kanäle geben. Eine hierarchische "Chefstruktur" oder eine abgeschottete "Abteilungsstruktur" ist praxisfremd.
Bei mir hat jeder sein Home (geschützt) und muss für das Holen oder Weitergeben selbst aktiv werden. Jeder kann seine Daten in einen Pool (freigegebenes Verzeichnis) einer Gruppe (Team, Abteilung, Standort) tun, wenn er es dort zugänglich machen will. Wenn er es direkt an eine Person adressieren will nutzt er die interne Mail mit Anhang.
Falls einmal etwas aus einem geschützten Bereich benötigt wird (Krankheit, Urlaub), muss das offiziell über einen Admin laufen.
Speedhub
Danke erstmal für deine Nachricht Speedhub!
Bei Deiner Ansicht zur "Chef- / Abteilungsstruktur" stimm ich Dir zu.
Aber gerade der Fall der Vertretung/Urlaub muss sauber gelöst werden und jedesmal den Weg über den Admin gehen ist auch weitestgehend sehr unflexibel und kann bei einer großen Anzahl an Nutzer schnell zu einem erhöhtem administrativen Mehraufwand führen!
Diese Handhabung kann (meiner Meinung nach) auch schnell zu Konflikten und daten-/zugriffsrechtlichen Problemen führen. Da im Vertretungsfall Ordner im Homeverzeichnis freigegeben werden müssen, welche unter Umständen mehr Daten enthalten als die Vertretung "sehen" soll. Ganz zu schweigen davon das sich in den meisten Home-Verzeichnissen nur der jeweilige Nutzer auskennt und sonst keiner. (Wir alle kennen die nichtssagenden Dateibezeichnungen und eine fehlende Ordnerstruktur in den Homeverzeichnissen)
@speedhub: Bitte nicht so arg als Kritik auffassen, ich habe ja auch keine bessere Lösung, aber Versuche den bestmöglichen Weg zu finden und dabei auch die Systeme andere zu verstehen und eventuelle Schwachstellen zu diskutieren.
Wie denkt der Rest darüber?
Bei Deiner Ansicht zur "Chef- / Abteilungsstruktur" stimm ich Dir zu.
Aber gerade der Fall der Vertretung/Urlaub muss sauber gelöst werden und jedesmal den Weg über den Admin gehen ist auch weitestgehend sehr unflexibel und kann bei einer großen Anzahl an Nutzer schnell zu einem erhöhtem administrativen Mehraufwand führen!
Diese Handhabung kann (meiner Meinung nach) auch schnell zu Konflikten und daten-/zugriffsrechtlichen Problemen führen. Da im Vertretungsfall Ordner im Homeverzeichnis freigegeben werden müssen, welche unter Umständen mehr Daten enthalten als die Vertretung "sehen" soll. Ganz zu schweigen davon das sich in den meisten Home-Verzeichnissen nur der jeweilige Nutzer auskennt und sonst keiner. (Wir alle kennen die nichtssagenden Dateibezeichnungen und eine fehlende Ordnerstruktur in den Homeverzeichnissen)
@speedhub: Bitte nicht so arg als Kritik auffassen, ich habe ja auch keine bessere Lösung, aber Versuche den bestmöglichen Weg zu finden und dabei auch die Systeme andere zu verstehen und eventuelle Schwachstellen zu diskutieren.
Wie denkt der Rest darüber?
Hallo Lapsus,
ich muss doch noch präzisieren, was da über den Admin läuft, damit mein Grundverständnis von Datenschutz nicht so sehr missverstanden wird.
In jeder Firma wird ja anders gearbeitet, deshalb zur Erklärung:
a) wer bei uns seine Arbeit nicht abliefert und in Urlaub fährt fällt in Ungnade.
b) Im Urlaub fällt der Mitarbeiter aus dem Kommunikationskreis heraus, er produziert nichts und was er bekommt bleibt eben liegen. Im Mailprogramm kann er aber eine Vertretung eintragen, der Kopien seiner Mails bekommt.
c) Termindruck kann dazu führen, dass die Bitte an den Admin gerichtet wird, die Datei "Wirtschaftsplan08" aus Schulzes Verzeichnis herauszu kopieren (aufwändig aber sehr selten).
d) Damit der Chef die Verzeichnisse von Schulze freigegeben bekommt muss dieser versterben oder gekündigt werden bzw. gegenüber dem Admin selbst den Wunsch äußern (kam meines Wissens in 10 Jahren zweimal vor).
Eigentlich ist der administrative Aufwand sehr gering. Ich verstehe Deine Befürchtung bezüglich "erhöhtem administrativen Mehraufwand" nicht ganz, schon im ersten Posting las ich: "Aber langsam wächst der Aufwand." und konnte mir nicht wirklich vorstellen, was Du meinst, evtl. viele Neueinstellungen?
Speedhub
ich muss doch noch präzisieren, was da über den Admin läuft, damit mein Grundverständnis von Datenschutz nicht so sehr missverstanden wird.
In jeder Firma wird ja anders gearbeitet, deshalb zur Erklärung:
a) wer bei uns seine Arbeit nicht abliefert und in Urlaub fährt fällt in Ungnade.
b) Im Urlaub fällt der Mitarbeiter aus dem Kommunikationskreis heraus, er produziert nichts und was er bekommt bleibt eben liegen. Im Mailprogramm kann er aber eine Vertretung eintragen, der Kopien seiner Mails bekommt.
c) Termindruck kann dazu führen, dass die Bitte an den Admin gerichtet wird, die Datei "Wirtschaftsplan08" aus Schulzes Verzeichnis herauszu kopieren (aufwändig aber sehr selten).
d) Damit der Chef die Verzeichnisse von Schulze freigegeben bekommt muss dieser versterben oder gekündigt werden bzw. gegenüber dem Admin selbst den Wunsch äußern (kam meines Wissens in 10 Jahren zweimal vor).
Eigentlich ist der administrative Aufwand sehr gering. Ich verstehe Deine Befürchtung bezüglich "erhöhtem administrativen Mehraufwand" nicht ganz, schon im ersten Posting las ich: "Aber langsam wächst der Aufwand." und konnte mir nicht wirklich vorstellen, was Du meinst, evtl. viele Neueinstellungen?
Speedhub
Erstmal zum Verständnis "erhöhter Aufwand" - ist ja ein sehr dehnbarer Begriff. Im Wesentlichen geht es mir dabei hier um "Kunstgriffe" um Dateigfreigaben zu ermöglichen, die Derzeit nicht flexible genug von meiner Ordner/Rechtestruktur abgefangen werden.
Bsp. Szenario:
Nutzer: Bitte Zugriff auf Datei D für X und Y ermöglichen (welche im Abteilungsordner liegt - und auch dor hingehört)
Admin: Dann sehen X und Y aber auch andere Dateien in Ordner!
Resultat: Zugriff soll möglich sein, andere Dateien sollen nicht gelesen werden können und Datei soll auch nicht verschoben werden, da sonst andere Nutzer sie nicht mehr finden. Schlussendlich muss natürlich eine von diesen Anforderungen weichen oder natürlich man ändert Rechte von sämtlichen anderen Dateien im Ordner. Ich hoffe der "Aufwand" ist nun etwas plastischer geworden. Für Anforderungen dieser Güte suche ich jetzt eine flexible Rechte/Ordner-Struktur.
@speedhub: Ich beneide Dich wirklich um die Selbstständigkeit Deiner Nutzer. Aber es ist fast undenkbar bei mir den Leuten bei zu bringen wie sinnvoll was wohin verschoben werden soll. Ergebnis ist dann oft, das ich Dateien suche, in regelmäßigen Abständen Unsummen von Duplikaten lösche, etc ... Somit liegt die Problemlösung bei mir... die Leute müssen arbeiten können und das so, dass Sie keine Fehler machen können.
Bsp. Szenario:
Nutzer: Bitte Zugriff auf Datei D für X und Y ermöglichen (welche im Abteilungsordner liegt - und auch dor hingehört)
Admin: Dann sehen X und Y aber auch andere Dateien in Ordner!
Resultat: Zugriff soll möglich sein, andere Dateien sollen nicht gelesen werden können und Datei soll auch nicht verschoben werden, da sonst andere Nutzer sie nicht mehr finden. Schlussendlich muss natürlich eine von diesen Anforderungen weichen oder natürlich man ändert Rechte von sämtlichen anderen Dateien im Ordner. Ich hoffe der "Aufwand" ist nun etwas plastischer geworden. Für Anforderungen dieser Güte suche ich jetzt eine flexible Rechte/Ordner-Struktur.
@speedhub: Ich beneide Dich wirklich um die Selbstständigkeit Deiner Nutzer. Aber es ist fast undenkbar bei mir den Leuten bei zu bringen wie sinnvoll was wohin verschoben werden soll. Ergebnis ist dann oft, das ich Dateien suche, in regelmäßigen Abständen Unsummen von Duplikaten lösche, etc ... Somit liegt die Problemlösung bei mir... die Leute müssen arbeiten können und das so, dass Sie keine Fehler machen können.
