yan2021
Goto Top

Rechtevergabe für mehrere Verzeichnisse gleichzeitig möglich?

Hallo,

ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.
Da die Verzeichnisstruktur ziemlich groß ist, wäre es sehr aufwendig, das händisch zu machen.

Daher wäre meine Frage,
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?

Ich vermute mal grob, dass das über Gruppenrichtlinien funktionieren könnte... habe aber keine Ahnung, wie man sowas macht.
Ich denke, ich sollte ggf. zunächst mal globale Benutzer- u. Berechtigungsgruppen anlegen... oder was meint Ihr?

Grüße von
Yan face-wink

Content-ID: 668056

Url: https://administrator.de/forum/rechtevergabe-fuer-mehrere-verzeichnisse-gleichzeitig-moeglich-668056.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

manuel-r
manuel-r 11.09.2024 um 15:17:46 Uhr
Goto Top
Zuerst einmal solltest du das nicht mit Benutzern sondern mit Gruppen machen. Sonst fragst du nämlich in zwei Wochen wie du in jedem Verzeichnis noch einen Benutzer dazu bekommst und einen anderen weg.

Dann solltest du dich mit Vererbung befassen und dir ein Konzept zurechtlegen wie du das gewünschte Ergebnis hinbekommst.

Zuletzt befasst du dich dann mit ICACLS. Mit dem Wissen baust du dir dann eine Batch mit der die Verzeichnisstruktur so wie es sein soll mit Berechtigungen versehen wird. Passiert zwar nicht gleichzeitig aber schnell nacheinander face-wink

Manuel
14260433693
14260433693 11.09.2024 aktualisiert um 15:28:39 Uhr
Goto Top
Oan Schkript hilft dr' dobai, aber bitte Berechtigungen nur mit Gruppen und nicht mit einzelnen Usern steuern, das fällt dir sonst bald wieder auf die Füße und du musst immer wieder ran...
Probleme beim Zuweisen von Gruppenberechtigungen mit PowerShell: Gruppen werden nicht korrekt in den Ordner eingetragen

Gruß
departure69
departure69 11.09.2024 um 15:20:51 Uhr
Goto Top
@Yan2021:

Hallo.

ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten

Ganz bestimmte Personen? EINZELpersonen? Das macht man trotzdem nicht so. Selbst dann, wenn nur eine einzelne Person Rechte benötigt, bilde für diese Berechtigung eine Gruppe und nimm die betroffene Person als Mitglied in die Gruppe auf. Einzelne Personen berechtigen bringt Dich bald in Teufels Küche. Die Gruppenbildung vereinfacht auch die Rechtevergabe durch weniger Auswahl- und Klickarbeit.

Und was meinst Du mit "ich denke mal NTFS-Berechtigungen"? Welche sonst? Falls Du bspw. Share-Berechtigungen als Alternative meinst, kann das nur falsch sein. Erstens bracht es für Share-Berechtigungen ein Share (nur auf Share-Ebene anwendbar), und zweitens sind Share-Berechtigungen bei weitem nicht so granular bestimmbar wie NTFS-Berechtigungen, bei Shares gibt es nur "Lesen", Schreiben" und "Vollzugriff". Dies widerspräche zumindest Deiner Aussage, Deine ganz bestimmten Personen bräuchten "ganz bestimmte" Berechtigungen. Also: Klar NTFS!

Viele Grüße

von

departure69
ElmerAcmeee
ElmerAcmeee 11.09.2024 aktualisiert um 15:28:05 Uhr
Goto Top
Moin,
"+ 1" dem Vorredner. Blos keine User direkt in die NTFS Berechtigungen eintragen!!!

Mein Rat wäre noch, die Berechtigung nur in den unteren Ordner zu vergeben und über nested Groups zu arbeiten.
Wird dann ein Nutzer, über eine Ressourcen Gruppe, in einen Unterordner berechtigt, gelangt er automatisch in die Read-Gruppe des Überordners.
Damit ist die Anzahl der Ebenen auch Wurscht.

Gruß und viel Erfolg
Penny.Cilin
Penny.Cilin 11.09.2024 um 20:23:33 Uhr
Goto Top
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.

Wen. Du schon so fragst, solltest Du Dich mit Berechtigungen beschäftigen. Es gibt nämlich Freigabeberechtigungen und NTFS-Berechtigungen.
Dann gibt es das AGDLP Prinzip (Access-Global Groups-Domain Liocalgroups-Permissions).
Und wie schön die Vorredner geschrieben haben, Berechtigungen immer auf Gruppen - nach Möglichkeit nie auf Benutzer.

Gruss Penny.
erikro
erikro 12.09.2024 um 09:41:48 Uhr
Goto Top
Moin,

Zitat von @Yan2021:
ich habe kürzlich eine neue Verzeichnisstruktur entworfen und nun auch angelegt (z.T. mit Eurer Hilfe).
Diese Verzeichnisse sind in 3 Ebenen angelegt.
Nun sollen in diesen 3 Ebenen ganz bestimmte Personen ganz bestimmte Berechtigungen (ich denke mal NTFS-Berechtigungen) erhalten.

Das ist soweit Standard.

Da die Verzeichnisstruktur ziemlich groß ist, wäre es sehr aufwendig, das händisch zu machen.

Das ist so.

Daher wäre meine Frage,
1) ob es geht, bestimmte Rechte gleich an mehrere Verzeichnisse zu vergeben (auch in 3 Ebenen)?
2) wenn ja, wie genau ich das umsetzen kann?

Eine Möglichkeit wäre die Powershell. Set-Acl wäre der entsprechende Befehl. Dann noch ein csv, in dem die Rechte stehen und Feuer frei. Ist allerdings ein wenig mit Risiko behaftet.

Ich vermute mal grob, dass das über Gruppenrichtlinien funktionieren könnte... habe aber keine Ahnung, wie man sowas macht.

Die Vermutung ist falsch. Gruppenrichtlinien haben mit Rechten nichts zu tun.

Ich denke, ich sollte ggf. zunächst mal globale Benutzer- u. Berechtigungsgruppen anlegen... oder was meint Ihr?

Wie die Kollegen schon sagten: Google mal nach AGDLP. Das Prinzip sollte man immer anwenden. Bei mir sieht das immer so aus:

Es gibt regelmäßig zwei domainlokale Gruppen pro Verzeichnis, auf das Rechte vergeben werden. Die eine heißt dl_rw_verzeichnis und die andere dl_ro_verzeichnis. Also eine Gruppe, die Schreibrechte bekommt, und eine, die nur Leserechte bekommt.

Dann gibt es globale Gruppen, in denen sich andere globale Gruppen und User befinden. Merke: Niemals User direkt in eine domainlokale Gruppe packen und niemals Rechte direkt an User vergeben.

Die globalen Gruppen sind rollenbasiert. Das heißt, dass die Rolle, die die User spielen, abgebildet werden. Z. B. eine Gruppe gl_buchhaltung, eine gl_geschaeftsleitung, eine gl_vertrieb, eine gl_vertrieb_abtleitung usw. Ein Mitarbeiter kommt idealerweise in genau eine dieser Gruppen.

Die globalen Gruppen werden dann entsprechend der gewünschten Rechte in die domainlokalen aufgenommen und erben so die Rechte. Fertig.

hth

Erik
Yan2021
Yan2021 12.09.2024 aktualisiert um 13:39:25 Uhr
Goto Top
Hallo und danke für Eure Tipps, die mir schon mal weiterhelfen.

@departure69:
Ich hatte Freigabeberechtigungen und NTFS-Berechtigungen gemeint und das wurde ja hier auch schon aufgegriffen.

Ich habe mich schon mal mit AGDLP befasst und dazu 2 Links gefunden, deren Text ich mir nun durchgelesen habe:
Link 1
Link 2

Einiges davon habe ich nun verstanden und mir ist jetzt auch klar, dass es nicht gut wäre, einzelne User direkt in eine domainlokale Gruppe zu packen.

Ich bin jedoch noch unsicher bezüglich der Umsetzung mit den zu erstellenden Gruppen in der AD der Domäne.
Vielleicht ist es einfacher, wenn ich nochmal kurz unsere Situation hier beschreibe:

Das ROOT wird eine Serverfreigabe sein (Laufwerk "S:\")
Wenn ich das richtig verstanden habe, sollte ich darauf nur Leserechte, bzw. Listberechtigungen (Ordnerinhalt anzeigen) vergeben. Dennoch darf hier nur der Admin weitere Zugriffsrechte haben, um z.B. neue Verzeichnisse anlegen zu können oder Rechte zu vergeben. Wie also setze ich Beides gleichzeitig um?

Unter dem ROOT kommen 3 Ebenen, wobei in der 1. Ebene mit 7 Unterverzeichnissen (wahrscheinlich am besten...) nur der Admin Zugriff bekommen sollte, um ggf. neue Verzeichnisse anlegen zu können etc.

In der 2. Ebene (mit wieder jeweils 7 Unterverzeichnissen) könnten dann - zusätzlich zum Admin - auch die GF und die beiden AL Zugriff über entspr. Gruppen bekommen, damit sie mal ein neues Verzeichnis anlegen können. Oder würdet Ihr das anders machen?

Gleiches dann in Ebene 3 (mit abermals je 7 Unterverzeichnissen). Auch hier würde ich für die "normalen" MA noch keine Zusatzberechtigungen über die entspr. Gruppen vergeben wollen, sondern nur "Ändern"-Rechte (??).

Üblich ist ja wohl der Vererbungs-Mechanismus (übergeordnete NTFS Berechtigungen werden von untergeordneten Ordnern übernommen).

Zu den domainlokalen Gruppen in der AD:

Bei uns gibt es von Vorgänger-Admins schon einige Gruppen, die in der AD angelegt sind.
Welche Gruppen sollte ich für die obige Umsetzung der neuen Verzeichnisstruktur dort ggf. neu anlegen?

Ich habe den Unterschied von globalen und lokalen Gruppen noch nicht so ganz verstanden face-wink
Über die Links werden auch oft unterschiedliche Begriffe / Bezeichnungen verwendet. Das verwirrt mich noch...

Wir haben folgende Gruppen (Rollen):
- Geschäftsführung
- Finanzen
- Öffentlichkeitsarbeit
- Mittelvergabe
- Verwaltung
- IT

Wichtig wäre noch zu erwähnen, dass wir hier lediglich maximal 15 MA sind, was die ganze Sache doch eigentlich sehr vereinfachen sollte face-smile
Dazu habe ich gelesen, dass man bei einer so kleinen Zahl an MA auch die AP-Strategie oder die AGP-Strategie anwenden könnte >> AG-/AGP-Strategie

Wie/wo würde ich dann am besten welche Gruppen erstellen und welche Rechte vergeben?

Grüße von
Yan face-wink