10
Userrechte Vergabe in wiederkehrenden Strukturen
Guten Tag,
ich möchte die Laufwerksstruktur in einer gewachsenen Umgebung inkl. Rechtevergabe automatisieren.
Von den Kollegen würde im Moment ein LW "Projekte" mit Unterordnern für die einzelnen Abteilungen favorisiert.
Der Haken hierbei ist, dass Abteilung A nicht auf die Verzeichnisse von Abteilung B zugreifen darf.
Wie habt ihr sowas gelöst? Skript über Powershell? Batch-Datei?
Ich möchte eine Vorlage erstellen, die bei einem neuen Projekt vom Projektleiter einmalig ausgeführt wird und sofort alles passt ohne dass die IT nochmal nachjustieren muss.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Gruß
Looser
ich möchte die Laufwerksstruktur in einer gewachsenen Umgebung inkl. Rechtevergabe automatisieren.
Von den Kollegen würde im Moment ein LW "Projekte" mit Unterordnern für die einzelnen Abteilungen favorisiert.
Der Haken hierbei ist, dass Abteilung A nicht auf die Verzeichnisse von Abteilung B zugreifen darf.
Wie habt ihr sowas gelöst? Skript über Powershell? Batch-Datei?
Ich möchte eine Vorlage erstellen, die bei einem neuen Projekt vom Projektleiter einmalig ausgeführt wird und sofort alles passt ohne dass die IT nochmal nachjustieren muss.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Gruß
Looser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3782416380
Url: https://administrator.de/contentid/3782416380
Printed on: April 25, 2024 at 02:04 o'clock
10 Comments
Latest comment
Moin,
leg auf eurem Filerserver
unter
Auf den Ordner
Auf die (Unter)Ordner der Abteilung A haben nur die Mitglieder der Gruppe
Aber alle Abteilungen haben Leserechte (wichtig bei der "Anwenden auf": "Diesen Ordner " wählen) auf alle Abteilungsordner, damit die Berechtigungen gelesen werden können - Einsicht auf Unterordner hat keiner.
Kopiert ein Projekt-/ ABteilungsleiter nun den Ordner "0Vorlage" in seine ABteilung, werden die Rechte des Abteilungsordners geerbt und alles ist gut.
Feintuning ginge noch, wenn man mit einer Batch/ Powershell den Projektnamen erfragt und mithilfe dessen dann den Ordner kopiert.
(*) fsr = file share rights (als Beispiel)
Gruß
em-pie
leg auf eurem Filerserver
TheFilesServer eine Freigabe Projekte an.unter
\\TheFileServer\Projekte legst du dann folgende Ordnerstruktur an:- 0Vorlage
- Abteilung A
- Abteilung B
- Abteilung C
- ...
- Abteilung O
Auf den Ordner
0Vorlage haben alle Leserechte.Auf die (Unter)Ordner der Abteilung A haben nur die Mitglieder der Gruppe
fsr_abteilung-a *, auf die (Unter)Ordner der Abteilung K nur die Mitglieder der Gruppe fsr_abteilung-k Schreib-/ Leserechte.Aber alle Abteilungen haben Leserechte (wichtig bei der "Anwenden auf": "Diesen Ordner " wählen) auf alle Abteilungsordner, damit die Berechtigungen gelesen werden können - Einsicht auf Unterordner hat keiner.
Kopiert ein Projekt-/ ABteilungsleiter nun den Ordner "0Vorlage" in seine ABteilung, werden die Rechte des Abteilungsordners geerbt und alles ist gut.
Feintuning ginge noch, wenn man mit einer Batch/ Powershell den Projektnamen erfragt und mithilfe dessen dann den Ordner kopiert.
(*) fsr = file share rights (als Beispiel)
Gruß
em-pie
Mag sich vielleicht dämlich anhören....
Sicherheitsgruppen?
Ah...oke....das soll dynamisch sein, wenn da User in den Abteilungen oder Projekten wechseln. Oder?
Würde ich aber dennoch per Sicherheitsgruppe und das semimanuell machen. Meiner Meinung nach ist das IT-Sache und nicht die der Projektleitung. Die hat der IT die User zu nennen und die IT steckt die dann in die Gruppen.
Gerne auch per CSV
https://blog.netwrix.de/2020/06/19/hinzufuegen-und-entfernen-von-active- ...
Wäre jetzt mein Ansatz. Ist bei mir alles überschaubar, da klappt das auch schlicht per RSAT.
Wenns dann nur um den Zugriff auf die entsprechenden Ordner geht, dann so wie von em-pie beschrieben.
Ein Ordner und Unterordner dann für die entsprechenden Projekte/Abteilungen.
Sicherheitsgruppen?
Ah...oke....das soll dynamisch sein, wenn da User in den Abteilungen oder Projekten wechseln. Oder?
Würde ich aber dennoch per Sicherheitsgruppe und das semimanuell machen. Meiner Meinung nach ist das IT-Sache und nicht die der Projektleitung. Die hat der IT die User zu nennen und die IT steckt die dann in die Gruppen.
Gerne auch per CSV
https://blog.netwrix.de/2020/06/19/hinzufuegen-und-entfernen-von-active- ...
Wäre jetzt mein Ansatz. Ist bei mir alles überschaubar, da klappt das auch schlicht per RSAT.
Wenns dann nur um den Zugriff auf die entsprechenden Ordner geht, dann so wie von em-pie beschrieben.
Ein Ordner und Unterordner dann für die entsprechenden Projekte/Abteilungen.
Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Dann muss das Skript einmalig nach Projektbeginn ausgeführt werden und alles Abteilungen hätten sofort Zugriff auf ihre Unterordner.
Ich frage mich nur, ob das flexibel genug ist???
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Dann muss das Skript einmalig nach Projektbeginn ausgeführt werden und alles Abteilungen hätten sofort Zugriff auf ihre Unterordner.
Ich frage mich nur, ob das flexibel genug ist???
NTFS Rechte und Steuerung übers AD?
So zumindest bei uns für Hunderttausende Ordner.
So zumindest bei uns für Hunderttausende Ordner.
Hi,
Wenn das Script ein Projektleiter ausführen soll, dann benötigt dieser also nicht bloß Vollzugriff auf den neu erstellten Projektordner (damit er da Berechtigungen setzen kann) sondern auch noch Rechte im AD, um die Gruppen für die Berechtigungen erstellen und deren Mitglieder verwalten zu können.
Kann man so machen, muss man aber genau planen.
Oder Du machst ein Auftragssystem draus. Der Projektleiter erstellt mit einem Script nur eine Datei, in welcher die Anforderung steht. Ein Scheduled Task führt (z.B. alle 5 min) mit ausreichenden Berechtigungen ein anderes Script aus, welches diese Auftragsdatei verarbeitet, und dabei die standardisierte Ordnerstruktur auf dem Laufwerk und die Berechtigungsgruppen im AD erstellt, den neuen Gruppen die Rechte für die Ordner erteilt und die Mitglieder hinzufügt. Der Name des Projektordners und die zu berechtigenden Benutzerrollen müssen in der Auftragsdatei enthalten sein.
Irgendwie so.
Aber: Du brauchst doch Projektordner und keine Abteilungsordner.
E.
Zitat von @Looser27:
Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Wenn ich Dich richtig verstanden habe, dann soll doch für jeden Projektordner zwar die gleiche Struktur bei Unterordnern und Berechtigungen gelten aber eben nicht die selbe. D.h. du wirst je Projektordner eigene Gruppen für die Berechtigungen brauchen, in welche Du dann die Benutzerrollen verschachtelst.Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Wenn das Script ein Projektleiter ausführen soll, dann benötigt dieser also nicht bloß Vollzugriff auf den neu erstellten Projektordner (damit er da Berechtigungen setzen kann) sondern auch noch Rechte im AD, um die Gruppen für die Berechtigungen erstellen und deren Mitglieder verwalten zu können.
Kann man so machen, muss man aber genau planen.
Oder Du machst ein Auftragssystem draus. Der Projektleiter erstellt mit einem Script nur eine Datei, in welcher die Anforderung steht. Ein Scheduled Task führt (z.B. alle 5 min) mit ausreichenden Berechtigungen ein anderes Script aus, welches diese Auftragsdatei verarbeitet, und dabei die standardisierte Ordnerstruktur auf dem Laufwerk und die Berechtigungsgruppen im AD erstellt, den neuen Gruppen die Rechte für die Ordner erteilt und die Mitglieder hinzufügt. Der Name des Projektordners und die zu berechtigenden Benutzerrollen müssen in der Auftragsdatei enthalten sein.
Irgendwie so.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Prinzipiell muss das keine doofe Idee sein. Zusammen mit Kontigenten und einem Rechte-Verwalter aus dieser Abteilung - und Du bist die Verwaltung dieser Ordner los. Du musst nur noch das Backup sicherstellen.Aber: Du brauchst doch Projektordner und keine Abteilungsordner.
E.
Ich habe mich mal dran gesetzt und ein Skript geschrieben, welches den Projektnamen abfragt, einen neuen Ordner für das Projekt anlegt und die Unterordner in definierter Folge erzeugt. Anschließend werden noch die Berechtigungen auf die Unterordner auf die Abteilungen eingegrenzt.
Das ganze hat nur das Problem, dass das Skript nur von einem Administrator ausgeführt werden kann (wg. der AD-Rechte). Zusätzlich haben die User keinerlei Rechte auf den übergeordneten Verzeichnissen, d.h. es können keine weiteren Unterordner für andere Abteilungen angelegt werden.
Wir werden sehen, was da schlussendlich bei rauskommt....erstmal danke für den Input.
Das ganze hat nur das Problem, dass das Skript nur von einem Administrator ausgeführt werden kann (wg. der AD-Rechte). Zusätzlich haben die User keinerlei Rechte auf den übergeordneten Verzeichnissen, d.h. es können keine weiteren Unterordner für andere Abteilungen angelegt werden.
Wir werden sehen, was da schlussendlich bei rauskommt....erstmal danke für den Input.
Heisst das, innerhalb der "Projekte-Ordner" gibt es noch weitere Berechtigungsunterschiede?
Hätte gedacht, dass bei der Struktur
nur auf Ebene DepA bis DepZ berechtigt wird...
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
Hätte gedacht, dass bei der Struktur
\\myServer\departments\
DepA\
Projekt 1\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
Projekt 2\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
DepB\
Projekt 1\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
Projekt 2\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
nur auf Ebene DepA bis DepZ berechtigt wird...
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
der kann doch die Berechtigungen aus DepA übernehmen??
Stimmt. Ich habe das Skript derzeit so geschrieben, dass es auf einem leeren Projekt-LW ausgeführt wird und dann mit jeder Ausführung ein Projekt erzeugt.
Unser Problem ist, dass wir demnächst sämtliche Daten auf eine neue Infrastruktur umziehen müssen. Und das derzeitige Berechtigungskonzept ist nicht gut (gewachsener Wildwuchs.....).
Ich könnte aus Deinem Beispiel natürlich einen Ordner definieren, diesen verstecken und aus diesem dann die Berechtigungen kopieren......vielleicht auch eine Option. Ich muss mal abwarten, für welche Version der Organisation sich die GF entscheidet.
als Ergänzung:
Projekt A
* Abteilung A
* Abteilung B
* Abteilung C
...
Projekt B
* Abteilung A
* Abteilung B
* Abteilung C
...
Ahhh...
Mit der Struktur leuchtet es mehr ein.
Ein Template-Ordner mit der relevanten Ordner- und Berechtigungsstruktur wurde von uns aus der IT angelegt. Es gab damals einen Verantwortlichen, der die Struktur im Template Ordner anpassen konnte (quasi der Head of Projects, würde es diese Position in einem kleinen KMU geben
)
Per Batch wurde dann der neue Ordnername abgefragt, die Verzeichnisstruktur kopiert und danach via VBScript die Berechtigung noch mal "überschrieben".
Das VBS-Script hat den Head of Projects am Ende aus dem Produktivordner entfernt - ansonsten waren die Zielberechtigungen im Template schon enthalten
Mit der Struktur leuchtet es mehr ein.
Ich könnte aus Deinem Beispiel natürlich einen Ordner definieren, diesen verstecken und aus diesem dann die Berechtigungen kopieren......vielleicht auch eine Option
Das habe ich damals mit einem VBS-Script "xcacls.vbs" gelöst.Ein Template-Ordner mit der relevanten Ordner- und Berechtigungsstruktur wurde von uns aus der IT angelegt. Es gab damals einen Verantwortlichen, der die Struktur im Template Ordner anpassen konnte (quasi der Head of Projects, würde es diese Position in einem kleinen KMU geben
)Per Batch wurde dann der neue Ordnername abgefragt, die Verzeichnisstruktur kopiert und danach via VBScript die Berechtigung noch mal "überschrieben".
Das VBS-Script hat den Head of Projects am Ende aus dem Produktivordner entfernt - ansonsten waren die Zielberechtigungen im Template schon enthalten
