3
Recht "ERSTELLER-BESITZER" expandiert später bei Ordnern nur auf "nur dieser Ordner"
Hallo zusammen,
folgende Problemstellung:
Mein Kunde möchte gern einen Bereich haben in welchem sich die User eigene Verzeichnisse anlegen können, die später dann für diesen User vollen Zugriff ermöglichen. Andere User sollen diesen Bereich nicht betreten können. Ein klassischer "privater" Bereich. Alltägliche Geschichte.
Ganz so privat darf dieser Bereich dann aber auch wieder nicht sein, denn der Chef und Personalleiter muss Zugriff auf diese Ordner haben. Ich denke ebenfalls eine mehr oder weniger alltägliche Aufgabenstellung.
Bis hier hin ist das kein Problem. Der Basis-Ordner hat dafür zwei entscheidende NTFS-Berechtigungen:
- ERSTELLER-BESITZER mit Vollzugriff
- Gruppe "Personalleiter" mit Vollzugriff
Das schöne ist: Erstellt sich ein Anwender einen Ordner, bekommt dieser durch das Recht "ERSTELLER-BESITZER" automatisch Zugriff auf das neu erstellte Objekt.
Das 1. Problem: Erstellt sich Peter Lustig einen Ordner, hat der neue Ordner anschließend für Peter Lustig zwar das Recht "Vollzugriff", aber bei "Anwenden auf" steht für diesen Ordner anschließend "nur diesen Ordner". Da innerhalb dieses Ordners zwar auch wieder "ERSTELLER-BESITZER" mit aufgenommen ist, vererbt sich das ganze immer schön nach unten so lange nur Peter Lustig Objekte erstellt.
Das 2. Problem: Kommt nun der Personalleiter kann er wie gewünscht auf diesen Ordner zugreifen (sein Recht wurde ja ebenfalls nach unten vererbt). Legt er aber nun eine Datei darin ab, erhält diese Datei nur den Zugriff für den Personalleiter, aber eben nicht mehr für Peter Lustig.
Würde das Recht "ERSTELLER-BESITZER" nun so expandieren, dass ein neu angelegter Ordner anschließend für diesen User bei "Anwenden auf" zu einem "Diesen Ordner, Unterordner und Dateien" expandieren, wäre dieses Problem damit erledigt. Das tut es aber leider nicht. Und genau hier ist mein Knackpunkt.
Ich denke die Problemstellung ist mehr oder weniger alltäglich. Wo ist hier mein Denkfehler? Dafür muss es doch eine einfache Lösung geben. Vermutlich denke ich zu kompliziert?
Danke und Grüße
Martin
folgende Problemstellung:
Mein Kunde möchte gern einen Bereich haben in welchem sich die User eigene Verzeichnisse anlegen können, die später dann für diesen User vollen Zugriff ermöglichen. Andere User sollen diesen Bereich nicht betreten können. Ein klassischer "privater" Bereich. Alltägliche Geschichte.
Ganz so privat darf dieser Bereich dann aber auch wieder nicht sein, denn der Chef und Personalleiter muss Zugriff auf diese Ordner haben. Ich denke ebenfalls eine mehr oder weniger alltägliche Aufgabenstellung.
Bis hier hin ist das kein Problem. Der Basis-Ordner hat dafür zwei entscheidende NTFS-Berechtigungen:
- ERSTELLER-BESITZER mit Vollzugriff
- Gruppe "Personalleiter" mit Vollzugriff
Das schöne ist: Erstellt sich ein Anwender einen Ordner, bekommt dieser durch das Recht "ERSTELLER-BESITZER" automatisch Zugriff auf das neu erstellte Objekt.
Das 1. Problem: Erstellt sich Peter Lustig einen Ordner, hat der neue Ordner anschließend für Peter Lustig zwar das Recht "Vollzugriff", aber bei "Anwenden auf" steht für diesen Ordner anschließend "nur diesen Ordner". Da innerhalb dieses Ordners zwar auch wieder "ERSTELLER-BESITZER" mit aufgenommen ist, vererbt sich das ganze immer schön nach unten so lange nur Peter Lustig Objekte erstellt.
Das 2. Problem: Kommt nun der Personalleiter kann er wie gewünscht auf diesen Ordner zugreifen (sein Recht wurde ja ebenfalls nach unten vererbt). Legt er aber nun eine Datei darin ab, erhält diese Datei nur den Zugriff für den Personalleiter, aber eben nicht mehr für Peter Lustig.
Würde das Recht "ERSTELLER-BESITZER" nun so expandieren, dass ein neu angelegter Ordner anschließend für diesen User bei "Anwenden auf" zu einem "Diesen Ordner, Unterordner und Dateien" expandieren, wäre dieses Problem damit erledigt. Das tut es aber leider nicht. Und genau hier ist mein Knackpunkt.
Ich denke die Problemstellung ist mehr oder weniger alltäglich. Wo ist hier mein Denkfehler? Dafür muss es doch eine einfache Lösung geben. Vermutlich denke ich zu kompliziert?
Danke und Grüße
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 524226
Url: https://administrator.de/contentid/524226
Printed on: April 24, 2024 at 22:04 o'clock
3 Comments
Latest comment
Hi
technisch ist das IMHO so nicht lösbar.
Aber ihr macht da auch was das so nicht gedacht ist.
Es ist entweder ein privater Bereich oder nicht. Im Privaten Bereich hat auch ein Chef erst mal nix zu suchen.
Wenn der da Zugriff braucht, lässt sich das zusammen mit der IT(und BR) realisieren.
Und selbst wenn er da permanent Zugriff hat, dann sicher nicht schreibend.
Wenn es sich um den "persönlichen" Ordner handelt, dann hat da eine administrative Gruppe Zugriff und der Mitarbeiter.
Wenn es sich um "eingeschränkte" Ordner handelt, also z.B ein Projektordner mit einer definierten Gruppe an Zugriffsberechtigten, dann bekommt der Ordner eine eigene Sicherheitsgruppe, die diese enthält.
Also entweder ist es ein persönlicher Ordner, dann ist die Creator Owner Gruppe die richtige, oder es ist kein persönlicher, dann wird der Zugriff entsprechend eingerichtet und vorgegeben.
Ein entsprechendes Tool das hier Selfservice für die User ermöglicht, wäre uA 8Man.
technisch ist das IMHO so nicht lösbar.
Aber ihr macht da auch was das so nicht gedacht ist.
Es ist entweder ein privater Bereich oder nicht. Im Privaten Bereich hat auch ein Chef erst mal nix zu suchen.
Wenn der da Zugriff braucht, lässt sich das zusammen mit der IT(und BR) realisieren.
Und selbst wenn er da permanent Zugriff hat, dann sicher nicht schreibend.
Wenn es sich um den "persönlichen" Ordner handelt, dann hat da eine administrative Gruppe Zugriff und der Mitarbeiter.
Wenn es sich um "eingeschränkte" Ordner handelt, also z.B ein Projektordner mit einer definierten Gruppe an Zugriffsberechtigten, dann bekommt der Ordner eine eigene Sicherheitsgruppe, die diese enthält.
Also entweder ist es ein persönlicher Ordner, dann ist die Creator Owner Gruppe die richtige, oder es ist kein persönlicher, dann wird der Zugriff entsprechend eingerichtet und vorgegeben.
Ein entsprechendes Tool das hier Selfservice für die User ermöglicht, wäre uA 8Man.
Danke für die Info.
Über die Vorgaben (die ich so von meinen Kunden bekomme) lässt sich sicherlich immer streiten. Ganz strikt gesehen hast Du natürlich recht. Entweder ist es privat oder eben nicht und insofern wäre der Zugriff durch eine andere Gruppe (bei privat) nicht nötig und bei "Projekten" entsprechend durch Gruppen zu definieren.
Ganz so einfach ist der Strich in der Regel (im wahren Leben) aber nicht zu ziehen und die Grenzen sind oftmals sehr schwimmend. Die Vorgabe ist hier eben das von mir geschilderte Szenario.
In diesem Sinne muss man bei solchen Ordnern also einmalig nochmal Hand anlegen und für den Basisordner des Users die Berechtigungen einmalig so anpassen dass das Szenario abgebildet werden kann. Ist von der Sache her kein riesen Ding, wäre aber schöner gewesen wenn es "automatisch" ginge.
Über die Vorgaben (die ich so von meinen Kunden bekomme) lässt sich sicherlich immer streiten. Ganz strikt gesehen hast Du natürlich recht. Entweder ist es privat oder eben nicht und insofern wäre der Zugriff durch eine andere Gruppe (bei privat) nicht nötig und bei "Projekten" entsprechend durch Gruppen zu definieren.
Ganz so einfach ist der Strich in der Regel (im wahren Leben) aber nicht zu ziehen und die Grenzen sind oftmals sehr schwimmend. Die Vorgabe ist hier eben das von mir geschilderte Szenario.
In diesem Sinne muss man bei solchen Ordnern also einmalig nochmal Hand anlegen und für den Basisordner des Users die Berechtigungen einmalig so anpassen dass das Szenario abgebildet werden kann. Ist von der Sache her kein riesen Ding, wäre aber schöner gewesen wenn es "automatisch" ginge.
wenn es um die bekannten "User folder" geht, lässt sich das ja per GPPs bzw per Script ja leicht machen.
Wenn allerdings tatsächlich einfach irgendwo ein Share X existiert und sich da jeder selbst Ordner erstellen darf und soll, dann wirds schwieriger. Da würde ich vielleicht ein kleines Script schreiben das per Intranet bedient werden kann. So nach dem Motto "Ordner SelfService" > Name des Ordners angeben > Script erstellt Ordner für den User.
Wenn allerdings tatsächlich einfach irgendwo ein Share X existiert und sich da jeder selbst Ordner erstellen darf und soll, dann wirds schwieriger. Da würde ich vielleicht ein kleines Script schreiben das per Intranet bedient werden kann. So nach dem Motto "Ordner SelfService" > Name des Ordners angeben > Script erstellt Ordner für den User.
