Recht "ERSTELLER-BESITZER" expandiert später bei Ordnern nur auf "nur dieser Ordner"
Hallo zusammen,
folgende Problemstellung:
Mein Kunde möchte gern einen Bereich haben in welchem sich die User eigene Verzeichnisse anlegen können, die später dann für diesen User vollen Zugriff ermöglichen. Andere User sollen diesen Bereich nicht betreten können. Ein klassischer "privater" Bereich. Alltägliche Geschichte.
Ganz so privat darf dieser Bereich dann aber auch wieder nicht sein, denn der Chef und Personalleiter muss Zugriff auf diese Ordner haben. Ich denke ebenfalls eine mehr oder weniger alltägliche Aufgabenstellung.
Bis hier hin ist das kein Problem. Der Basis-Ordner hat dafür zwei entscheidende NTFS-Berechtigungen:
- ERSTELLER-BESITZER mit Vollzugriff
- Gruppe "Personalleiter" mit Vollzugriff
Das schöne ist: Erstellt sich ein Anwender einen Ordner, bekommt dieser durch das Recht "ERSTELLER-BESITZER" automatisch Zugriff auf das neu erstellte Objekt.
Das 1. Problem: Erstellt sich Peter Lustig einen Ordner, hat der neue Ordner anschließend für Peter Lustig zwar das Recht "Vollzugriff", aber bei "Anwenden auf" steht für diesen Ordner anschließend "nur diesen Ordner". Da innerhalb dieses Ordners zwar auch wieder "ERSTELLER-BESITZER" mit aufgenommen ist, vererbt sich das ganze immer schön nach unten so lange nur Peter Lustig Objekte erstellt.
Das 2. Problem: Kommt nun der Personalleiter kann er wie gewünscht auf diesen Ordner zugreifen (sein Recht wurde ja ebenfalls nach unten vererbt). Legt er aber nun eine Datei darin ab, erhält diese Datei nur den Zugriff für den Personalleiter, aber eben nicht mehr für Peter Lustig.
Würde das Recht "ERSTELLER-BESITZER" nun so expandieren, dass ein neu angelegter Ordner anschließend für diesen User bei "Anwenden auf" zu einem "Diesen Ordner, Unterordner und Dateien" expandieren, wäre dieses Problem damit erledigt. Das tut es aber leider nicht. Und genau hier ist mein Knackpunkt.
Ich denke die Problemstellung ist mehr oder weniger alltäglich. Wo ist hier mein Denkfehler? Dafür muss es doch eine einfache Lösung geben. Vermutlich denke ich zu kompliziert?
Danke und Grüße
Martin
folgende Problemstellung:
Mein Kunde möchte gern einen Bereich haben in welchem sich die User eigene Verzeichnisse anlegen können, die später dann für diesen User vollen Zugriff ermöglichen. Andere User sollen diesen Bereich nicht betreten können. Ein klassischer "privater" Bereich. Alltägliche Geschichte.
Ganz so privat darf dieser Bereich dann aber auch wieder nicht sein, denn der Chef und Personalleiter muss Zugriff auf diese Ordner haben. Ich denke ebenfalls eine mehr oder weniger alltägliche Aufgabenstellung.
Bis hier hin ist das kein Problem. Der Basis-Ordner hat dafür zwei entscheidende NTFS-Berechtigungen:
- ERSTELLER-BESITZER mit Vollzugriff
- Gruppe "Personalleiter" mit Vollzugriff
Das schöne ist: Erstellt sich ein Anwender einen Ordner, bekommt dieser durch das Recht "ERSTELLER-BESITZER" automatisch Zugriff auf das neu erstellte Objekt.
Das 1. Problem: Erstellt sich Peter Lustig einen Ordner, hat der neue Ordner anschließend für Peter Lustig zwar das Recht "Vollzugriff", aber bei "Anwenden auf" steht für diesen Ordner anschließend "nur diesen Ordner". Da innerhalb dieses Ordners zwar auch wieder "ERSTELLER-BESITZER" mit aufgenommen ist, vererbt sich das ganze immer schön nach unten so lange nur Peter Lustig Objekte erstellt.
Das 2. Problem: Kommt nun der Personalleiter kann er wie gewünscht auf diesen Ordner zugreifen (sein Recht wurde ja ebenfalls nach unten vererbt). Legt er aber nun eine Datei darin ab, erhält diese Datei nur den Zugriff für den Personalleiter, aber eben nicht mehr für Peter Lustig.
Würde das Recht "ERSTELLER-BESITZER" nun so expandieren, dass ein neu angelegter Ordner anschließend für diesen User bei "Anwenden auf" zu einem "Diesen Ordner, Unterordner und Dateien" expandieren, wäre dieses Problem damit erledigt. Das tut es aber leider nicht. Und genau hier ist mein Knackpunkt.
Ich denke die Problemstellung ist mehr oder weniger alltäglich. Wo ist hier mein Denkfehler? Dafür muss es doch eine einfache Lösung geben. Vermutlich denke ich zu kompliziert?
Danke und Grüße
Martin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 524226
Url: https://administrator.de/forum/recht-ersteller-besitzer-expandiert-spaeter-bei-ordnern-nur-auf-nur-dieser-ordner-524226.html
Ausgedruckt am: 26.12.2024 um 12:12 Uhr
3 Kommentare
Neuester Kommentar
Hi
technisch ist das IMHO so nicht lösbar.
Aber ihr macht da auch was das so nicht gedacht ist.
Es ist entweder ein privater Bereich oder nicht. Im Privaten Bereich hat auch ein Chef erst mal nix zu suchen.
Wenn der da Zugriff braucht, lässt sich das zusammen mit der IT(und BR) realisieren.
Und selbst wenn er da permanent Zugriff hat, dann sicher nicht schreibend.
Wenn es sich um den "persönlichen" Ordner handelt, dann hat da eine administrative Gruppe Zugriff und der Mitarbeiter.
Wenn es sich um "eingeschränkte" Ordner handelt, also z.B ein Projektordner mit einer definierten Gruppe an Zugriffsberechtigten, dann bekommt der Ordner eine eigene Sicherheitsgruppe, die diese enthält.
Also entweder ist es ein persönlicher Ordner, dann ist die Creator Owner Gruppe die richtige, oder es ist kein persönlicher, dann wird der Zugriff entsprechend eingerichtet und vorgegeben.
Ein entsprechendes Tool das hier Selfservice für die User ermöglicht, wäre uA 8Man.
technisch ist das IMHO so nicht lösbar.
Aber ihr macht da auch was das so nicht gedacht ist.
Es ist entweder ein privater Bereich oder nicht. Im Privaten Bereich hat auch ein Chef erst mal nix zu suchen.
Wenn der da Zugriff braucht, lässt sich das zusammen mit der IT(und BR) realisieren.
Und selbst wenn er da permanent Zugriff hat, dann sicher nicht schreibend.
Wenn es sich um den "persönlichen" Ordner handelt, dann hat da eine administrative Gruppe Zugriff und der Mitarbeiter.
Wenn es sich um "eingeschränkte" Ordner handelt, also z.B ein Projektordner mit einer definierten Gruppe an Zugriffsberechtigten, dann bekommt der Ordner eine eigene Sicherheitsgruppe, die diese enthält.
Also entweder ist es ein persönlicher Ordner, dann ist die Creator Owner Gruppe die richtige, oder es ist kein persönlicher, dann wird der Zugriff entsprechend eingerichtet und vorgegeben.
Ein entsprechendes Tool das hier Selfservice für die User ermöglicht, wäre uA 8Man.
wenn es um die bekannten "User folder" geht, lässt sich das ja per GPPs bzw per Script ja leicht machen.
Wenn allerdings tatsächlich einfach irgendwo ein Share X existiert und sich da jeder selbst Ordner erstellen darf und soll, dann wirds schwieriger. Da würde ich vielleicht ein kleines Script schreiben das per Intranet bedient werden kann. So nach dem Motto "Ordner SelfService" > Name des Ordners angeben > Script erstellt Ordner für den User.
Wenn allerdings tatsächlich einfach irgendwo ein Share X existiert und sich da jeder selbst Ordner erstellen darf und soll, dann wirds schwieriger. Da würde ich vielleicht ein kleines Script schreiben das per Intranet bedient werden kann. So nach dem Motto "Ordner SelfService" > Name des Ordners angeben > Script erstellt Ordner für den User.