Rechtevergabe für mehrere Verzeichnisse gleichzeitig möglich?
Hallo,
ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
Da die Verzeichnisstruktur ziemlich groß ist, wäre es sehr aufwendig, das händisch zu machen.
Daher wäre meine Frage,
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?
Ich vermute mal grob, dass das über Gruppenrichtlinien funktionieren könnte... habe aber keine Ahnung, wie man sowas macht.
Ich denke, ich sollte ggf. zunächst mal globale Benutzer- u. Berechtigungsgruppen anlegen... oder was meint Ihr?
Grüße von
Yan
ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
Da die Verzeichnisstruktur ziemlich groß ist, wäre es sehr aufwendig, das händisch zu machen.
Daher wäre meine Frage,
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?
Ich vermute mal grob, dass das über Gruppenrichtlinien funktionieren könnte... habe aber keine Ahnung, wie man sowas macht.
Ich denke, ich sollte ggf. zunächst mal globale Benutzer- u. Berechtigungsgruppen anlegen... oder was meint Ihr?
Grüße von
Yan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668056
Url: https://administrator.de/forum/rechtevergabe-fuer-mehrere-verzeichnisse-gleichzeitig-moeglich-668056.html
Ausgedruckt am: 22.12.2024 um 02:12 Uhr
7 Kommentare
Neuester Kommentar
Zuerst einmal solltest du das nicht mit Benutzern sondern mit Gruppen machen. Sonst fragst du nämlich in zwei Wochen wie du in jedem Verzeichnis noch einen Benutzer dazu bekommst und einen anderen weg.
Dann solltest du dich mit Vererbung befassen und dir ein Konzept zurechtlegen wie du das gewünschte Ergebnis hinbekommst.
Zuletzt befasst du dich dann mit ICACLS. Mit dem Wissen baust du dir dann eine Batch mit der die Verzeichnisstruktur so wie es sein soll mit Berechtigungen versehen wird. Passiert zwar nicht gleichzeitig aber schnell nacheinander
Manuel
Dann solltest du dich mit Vererbung befassen und dir ein Konzept zurechtlegen wie du das gewünschte Ergebnis hinbekommst.
Zuletzt befasst du dich dann mit ICACLS. Mit dem Wissen baust du dir dann eine Batch mit der die Verzeichnisstruktur so wie es sein soll mit Berechtigungen versehen wird. Passiert zwar nicht gleichzeitig aber schnell nacheinander
Manuel
Oan Schkript hilft dr' dobai, aber bitte Berechtigungen nur mit Gruppen und nicht mit einzelnen Usern steuern, das fällt dir sonst bald wieder auf die Füße und du musst immer wieder ran...
Probleme beim Zuweisen von Gruppenberechtigungen mit PowerShell: Gruppen werden nicht korrekt in den Ordner eingetragen
Gruß
Probleme beim Zuweisen von Gruppenberechtigungen mit PowerShell: Gruppen werden nicht korrekt in den Ordner eingetragen
Gruß
@Yan2021:
Hallo.
Ganz bestimmte Personen? EINZELpersonen? Das macht man trotzdem nicht so. Selbst dann, wenn nur eine einzelne Person Rechte benötigt, bilde für diese Berechtigung eine Gruppe und nimm die betroffene Person als Mitglied in die Gruppe auf. Einzelne Personen berechtigen bringt Dich bald in Teufels Küche. Die Gruppenbildung vereinfacht auch die Rechtevergabe durch weniger Auswahl- und Klickarbeit.
Und was meinst Du mit "ich denke mal NTFS-Berechtigungen"? Welche sonst? Falls Du bspw. Share-Berechtigungen als Alternative meinst, kann das nur falsch sein. Erstens bracht es für Share-Berechtigungen ein Share (nur auf Share-Ebene anwendbar), und zweitens sind Share-Berechtigungen bei weitem nicht so granular bestimmbar wie NTFS-Berechtigungen, bei Shares gibt es nur "Lesen", Schreiben" und "Vollzugriff". Dies widerspräche zumindest Deiner Aussage, Deine ganz bestimmten Personen bräuchten "ganz bestimmte" Berechtigungen. Also: Klar NTFS!
Viele Grüße
von
departure69
Hallo.
ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten
Ganz bestimmte Personen? EINZELpersonen? Das macht man trotzdem nicht so. Selbst dann, wenn nur eine einzelne Person Rechte benötigt, bilde für diese Berechtigung eine Gruppe und nimm die betroffene Person als Mitglied in die Gruppe auf. Einzelne Personen berechtigen bringt Dich bald in Teufels Küche. Die Gruppenbildung vereinfacht auch die Rechtevergabe durch weniger Auswahl- und Klickarbeit.
Und was meinst Du mit "ich denke mal NTFS-Berechtigungen"? Welche sonst? Falls Du bspw. Share-Berechtigungen als Alternative meinst, kann das nur falsch sein. Erstens bracht es für Share-Berechtigungen ein Share (nur auf Share-Ebene anwendbar), und zweitens sind Share-Berechtigungen bei weitem nicht so granular bestimmbar wie NTFS-Berechtigungen, bei Shares gibt es nur "Lesen", Schreiben" und "Vollzugriff". Dies widerspräche zumindest Deiner Aussage, Deine ganz bestimmten Personen bräuchten "ganz bestimmte" Berechtigungen. Also: Klar NTFS!
Viele Grüße
von
departure69
Moin,
"+ 1" dem Vorredner. Blos keine User direkt in die NTFS Berechtigungen eintragen!!!
Mein Rat wäre noch, die Berechtigung nur in den unteren Ordner zu vergeben und über nested Groups zu arbeiten.
Wird dann ein Nutzer, über eine Ressourcen Gruppe, in einen Unterordner berechtigt, gelangt er automatisch in die Read-Gruppe des Überordners.
Damit ist die Anzahl der Ebenen auch Wurscht.
Gruß und viel Erfolg
"+ 1" dem Vorredner. Blos keine User direkt in die NTFS Berechtigungen eintragen!!!
Mein Rat wäre noch, die Berechtigung nur in den unteren Ordner zu vergeben und über nested Groups zu arbeiten.
Wird dann ein Nutzer, über eine Ressourcen Gruppe, in einen Unterordner berechtigt, gelangt er automatisch in die Read-Gruppe des Überordners.
Damit ist die Anzahl der Ebenen auch Wurscht.
Gruß und viel Erfolg
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
Wen. Du schon so fragst, solltest Du Dich mit Berechtigungen beschäftigen. Es gibt nämlich Freigabeberechtigungen und NTFS-Berechtigungen.
Dann gibt es das AGDLP Prinzip (Access-Global Groups-Domain Liocalgroups-Permissions).
Und wie schön die Vorredner geschrieben haben, Berechtigungen immer auf Gruppen - nach Möglichkeit nie auf Benutzer.
Gruss Penny.
Moin,
Das ist soweit Standard.
Das ist so.
Eine Möglichkeit wäre die Powershell. Set-Acl wäre der entsprechende Befehl. Dann noch ein csv, in dem die Rechte stehen und Feuer frei. Ist allerdings ein wenig mit Risiko behaftet.
Die Vermutung ist falsch. Gruppenrichtlinien haben mit Rechten nichts zu tun.
Wie die Kollegen schon sagten: Google mal nach AGDLP. Das Prinzip sollte man immer anwenden. Bei mir sieht das immer so aus:
Es gibt regelmäßig zwei domainlokale Gruppen pro Verzeichnis, auf das Rechte vergeben werden. Die eine heißt dl_rw_verzeichnis und die andere dl_ro_verzeichnis. Also eine Gruppe, die Schreibrechte bekommt, und eine, die nur Leserechte bekommt.
Dann gibt es globale Gruppen, in denen sich andere globale Gruppen und User befinden. Merke: Niemals User direkt in eine domainlokale Gruppe packen und niemals Rechte direkt an User vergeben.
Die globalen Gruppen sind rollenbasiert. Das heißt, dass die Rolle, die die User spielen, abgebildet werden. Z. B. eine Gruppe gl_buchhaltung, eine gl_geschaeftsleitung, eine gl_vertrieb, eine gl_vertrieb_abtleitung usw. Ein Mitarbeiter kommt idealerweise in genau eine dieser Gruppen.
Die globalen Gruppen werden dann entsprechend der gewünschten Rechte in die domainlokalen aufgenommen und erben so die Rechte. Fertig.
hth
Erik
Zitat von @Yan2021:
ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
Das ist soweit Standard.
Da die Verzeichnisstruktur ziemlich groß ist, wäre es sehr aufwendig, das händisch zu machen.
Das ist so.
Daher wäre meine Frage,
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?
Eine Möglichkeit wäre die Powershell. Set-Acl wäre der entsprechende Befehl. Dann noch ein csv, in dem die Rechte stehen und Feuer frei. Ist allerdings ein wenig mit Risiko behaftet.
Ich vermute mal grob, dass das über Gruppenrichtlinien funktionieren könnte... habe aber keine Ahnung, wie man sowas macht.
Die Vermutung ist falsch. Gruppenrichtlinien haben mit Rechten nichts zu tun.
Ich denke, ich sollte ggf. zunächst mal globale Benutzer- u. Berechtigungsgruppen anlegen... oder was meint Ihr?
Wie die Kollegen schon sagten: Google mal nach AGDLP. Das Prinzip sollte man immer anwenden. Bei mir sieht das immer so aus:
Es gibt regelmäßig zwei domainlokale Gruppen pro Verzeichnis, auf das Rechte vergeben werden. Die eine heißt dl_rw_verzeichnis und die andere dl_ro_verzeichnis. Also eine Gruppe, die Schreibrechte bekommt, und eine, die nur Leserechte bekommt.
Dann gibt es globale Gruppen, in denen sich andere globale Gruppen und User befinden. Merke: Niemals User direkt in eine domainlokale Gruppe packen und niemals Rechte direkt an User vergeben.
Die globalen Gruppen sind rollenbasiert. Das heißt, dass die Rolle, die die User spielen, abgebildet werden. Z. B. eine Gruppe gl_buchhaltung, eine gl_geschaeftsleitung, eine gl_vertrieb, eine gl_vertrieb_abtleitung usw. Ein Mitarbeiter kommt idealerweise in genau eine dieser Gruppen.
Die globalen Gruppen werden dann entsprechend der gewünschten Rechte in die domainlokalen aufgenommen und erben so die Rechte. Fertig.
hth
Erik