Sicherheitseinstellungen für Netzwerklaufwerk
Hallo zusammen,
ich melde mich mal wieder mit einem neuen Problem / Fragestellung.
Wir haben auf unserem W2K Server einen freigegebenen Ordner, der auf allen Clients als Netzlaufwerk verbunden ist.
Nachdem es sich in letzter Zeit häuft, dass user, vermutlich versehentlich, Dateien und teilweise auch ganze Ordner löschen und diese dann in keinem Papierkorb auffindbar sind, möchte ich ein paar Änderungen vornehmen, damit ich nicht alle Nase lang die Dateien aus Sicherungen wieder herstellen muß.
Ich dachte da etwa an folgendes:
- in der Hauptebene existierende Ordner sollen nicht löschbar sein
- die user sollen in den Odnern Unterordner und Dateien anlegen können
- sie sollen prinzipiell auch Unterordner und Dateien löschen können, aber nicht direkt
Die Löschung von Dateien habe ich mir so vorgestellt, dass die user die zu löschende Datei erst in einen anderen Odner (z.B. "Müll") verschieben müssen, damit sie sie von dort löschen können.
Leider klappt das nicht so, wie ich mir das vorgestellt habe. Wenn ich die Löschberechtigung entziehe können scheinbar auch keine Daten verschoben werden.
Hat jemand eine Idee zur Verwirklichung oder einen besseren Ansatz?
Vielen Dank
heriro
ich melde mich mal wieder mit einem neuen Problem / Fragestellung.
Wir haben auf unserem W2K Server einen freigegebenen Ordner, der auf allen Clients als Netzlaufwerk verbunden ist.
Nachdem es sich in letzter Zeit häuft, dass user, vermutlich versehentlich, Dateien und teilweise auch ganze Ordner löschen und diese dann in keinem Papierkorb auffindbar sind, möchte ich ein paar Änderungen vornehmen, damit ich nicht alle Nase lang die Dateien aus Sicherungen wieder herstellen muß.
Ich dachte da etwa an folgendes:
- in der Hauptebene existierende Ordner sollen nicht löschbar sein
- die user sollen in den Odnern Unterordner und Dateien anlegen können
- sie sollen prinzipiell auch Unterordner und Dateien löschen können, aber nicht direkt
Die Löschung von Dateien habe ich mir so vorgestellt, dass die user die zu löschende Datei erst in einen anderen Odner (z.B. "Müll") verschieben müssen, damit sie sie von dort löschen können.
Leider klappt das nicht so, wie ich mir das vorgestellt habe. Wenn ich die Löschberechtigung entziehe können scheinbar auch keine Daten verschoben werden.
Hat jemand eine Idee zur Verwirklichung oder einen besseren Ansatz?
Vielen Dank
heriro
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 57874
Url: https://administrator.de/contentid/57874
Ausgedruckt am: 05.11.2024 um 11:11 Uhr
4 Kommentare
Neuester Kommentar
Du kannst auf jeden fall auf den obersten Ordener die berchtingungen so setzten das man
nur schreiben draf, musst aber dann das hakerl "Rechte auf untergeordnete Objekte vererben" unter erweiter bei sicherheit entfernen.
wegen dem das die dateien beim löschen in den Papierkorp kommen kann ich dir leider nicht helfen.
mfg
nur schreiben draf, musst aber dann das hakerl "Rechte auf untergeordnete Objekte vererben" unter erweiter bei sicherheit entfernen.
wegen dem das die dateien beim löschen in den Papierkorp kommen kann ich dir leider nicht helfen.
mfg
Hallo heriro,
also von der Idee mit dem "Müllordner" auf deinem Datenlaufwerk bin ich nicht so überzeugt.
Finde ich nicht besonders sinnvoll, da dies nicht unbedingt dazu beiträgt das System intuitiver zu machen (wer, der das nicht weiß ahnt denn das er seine daten erst verschieben muss um sie zu löschen).
Desweiteren ist dies mit NTFS berechtigungen dann auch gar nicht so leicht umzusetzen da wenn jemand etwas verschiebt die datei zum neuen ort kopiert wird (sofern schreibrechte) um anschließend am alten ort gelöscht zu werden (löschrechte vorrausgesetzt).
Das jemand der auch löschen können soll etwas aus einem netzlaufwerk irrtümlicherweise löscht kann eigentlich auch nicht wirklich beeinflusst werden.
Mit dem entziehen von Rechten wäre ich vorsichtig. Vorallem auf "Build in" Gruppen nichts verweigern!!!
Sinnvoll ist ist meiner Erfahrung nach folgendes zu tun:
- Eine Struktur mit mehreren Ebenen vorgeben ( z.B. organisiert nach Abteilungsorder, wo dann die einzelnen Abteilungen ihren gemeinsamen Speicherbereich finden und z.B. Projekte um in längerfristigen Projekten abteilungsübergreifend und Projektbezogen datenablage zu ermöglichen). Würde leserechte bis zum Abteilungslaufwerk bedeuten um anschließend die Globale Gruppe mit Inhalt der mitarbeiter einer Abteilung auf deine Domainlokale Gruppe des NTFS Ordners zu berechtigen, die dann z.B. erst auf der ebene "Abteilungsorder" zugreifen kann.
- Striktes einhalten einer durchgehenden Berechtigungsstruktur z.B. AGDLP (Access Global Domain Lokal Permission)
Also für jedes Share eine domainlokale gruppe anlegen, welche auf ntfs die benötigten Rechte erhält um anschließend die globale gruppe mit den entsprechenden usern, die zugreifen sollen in die domain lokale gruppe zu packen. Dies wird umso umfangreicher, je komplexer die Anforderungen an lese / schreibrechtevergabe sind. Es lohnt sich aber da dies eine der empfohlenen Mehoden für die Rechtevergabe darstellt (damit auch den meisten Admins bekannt und selbsterklärend - d.h. auch kollegen bzw. neue mitarbeiter oder externe consultans haben kein problem die logik der berechtigungsstruktur nachzuvollziehen und das ganze bleibt über jahre sehr gut administrierbar...
in der hoffnung dir ein wenig geholfen zu haben...
Servus und aloha,
f.
also von der Idee mit dem "Müllordner" auf deinem Datenlaufwerk bin ich nicht so überzeugt.
Finde ich nicht besonders sinnvoll, da dies nicht unbedingt dazu beiträgt das System intuitiver zu machen (wer, der das nicht weiß ahnt denn das er seine daten erst verschieben muss um sie zu löschen).
Desweiteren ist dies mit NTFS berechtigungen dann auch gar nicht so leicht umzusetzen da wenn jemand etwas verschiebt die datei zum neuen ort kopiert wird (sofern schreibrechte) um anschließend am alten ort gelöscht zu werden (löschrechte vorrausgesetzt).
Das jemand der auch löschen können soll etwas aus einem netzlaufwerk irrtümlicherweise löscht kann eigentlich auch nicht wirklich beeinflusst werden.
Mit dem entziehen von Rechten wäre ich vorsichtig. Vorallem auf "Build in" Gruppen nichts verweigern!!!
Sinnvoll ist ist meiner Erfahrung nach folgendes zu tun:
- Eine Struktur mit mehreren Ebenen vorgeben ( z.B. organisiert nach Abteilungsorder, wo dann die einzelnen Abteilungen ihren gemeinsamen Speicherbereich finden und z.B. Projekte um in längerfristigen Projekten abteilungsübergreifend und Projektbezogen datenablage zu ermöglichen). Würde leserechte bis zum Abteilungslaufwerk bedeuten um anschließend die Globale Gruppe mit Inhalt der mitarbeiter einer Abteilung auf deine Domainlokale Gruppe des NTFS Ordners zu berechtigen, die dann z.B. erst auf der ebene "Abteilungsorder" zugreifen kann.
- Striktes einhalten einer durchgehenden Berechtigungsstruktur z.B. AGDLP (Access Global Domain Lokal Permission)
Also für jedes Share eine domainlokale gruppe anlegen, welche auf ntfs die benötigten Rechte erhält um anschließend die globale gruppe mit den entsprechenden usern, die zugreifen sollen in die domain lokale gruppe zu packen. Dies wird umso umfangreicher, je komplexer die Anforderungen an lese / schreibrechtevergabe sind. Es lohnt sich aber da dies eine der empfohlenen Mehoden für die Rechtevergabe darstellt (damit auch den meisten Admins bekannt und selbsterklärend - d.h. auch kollegen bzw. neue mitarbeiter oder externe consultans haben kein problem die logik der berechtigungsstruktur nachzuvollziehen und das ganze bleibt über jahre sehr gut administrierbar...
in der hoffnung dir ein wenig geholfen zu haben...
Servus und aloha,
f.
Ich würde versuchen "Sicherungskopien" egal welcher Art nicht auf einem als FileServer gedachten Server zu speichern.
Nicht viel aber zumindest etwas besser geeignet wäre meiner meinung da noch das persönliche verzeichnis des users (z.B. für alte dokumente oder maildatenbanken)
Solltest du eine Funktion benötigen die bei den einzelnen Files eine Art Versionierung ermöglicht so solltest du dich mit dem integrierten Volumen Schattenkopien (volume shadow copy) von Server 2003 auseinander setzen.
Nicht viel aber zumindest etwas besser geeignet wäre meiner meinung da noch das persönliche verzeichnis des users (z.B. für alte dokumente oder maildatenbanken)
Solltest du eine Funktion benötigen die bei den einzelnen Files eine Art Versionierung ermöglicht so solltest du dich mit dem integrierten Volumen Schattenkopien (volume shadow copy) von Server 2003 auseinander setzen.