looser27
Goto Top

Userrechte Vergabe in wiederkehrenden Strukturen

Guten Tag,

ich möchte die Laufwerksstruktur in einer gewachsenen Umgebung inkl. Rechtevergabe automatisieren.
Von den Kollegen würde im Moment ein LW "Projekte" mit Unterordnern für die einzelnen Abteilungen favorisiert.
Der Haken hierbei ist, dass Abteilung A nicht auf die Verzeichnisse von Abteilung B zugreifen darf.

Wie habt ihr sowas gelöst? Skript über Powershell? Batch-Datei?

Ich möchte eine Vorlage erstellen, die bei einem neuen Projekt vom Projektleiter einmalig ausgeführt wird und sofort alles passt ohne dass die IT nochmal nachjustieren muss.

Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......

Gruß

Looser

Content-Key: 3782416380

Url: https://administrator.de/contentid/3782416380

Printed on: May 18, 2024 at 07:05 o'clock

Member: em-pie
em-pie Aug 29, 2022 updated at 12:53:25 (UTC)
Goto Top
Moin,

leg auf eurem Filerserver TheFilesServer eine Freigabe Projekte an.
unter \\TheFileServer\Projekte legst du dann folgende Ordnerstruktur an:
  • 0Vorlage
  • Abteilung A
  • Abteilung B
  • Abteilung C
  • ...
  • Abteilung O

Auf den Ordner 0Vorlage haben alle Leserechte.
Auf die (Unter)Ordner der Abteilung A haben nur die Mitglieder der Gruppe fsr_abteilung-a *, auf die (Unter)Ordner der Abteilung K nur die Mitglieder der Gruppe fsr_abteilung-k Schreib-/ Leserechte.
Aber alle Abteilungen haben Leserechte (wichtig bei der "Anwenden auf": "Diesen Ordner " wählen) auf alle Abteilungsordner, damit die Berechtigungen gelesen werden können - Einsicht auf Unterordner hat keiner.
Kopiert ein Projekt-/ ABteilungsleiter nun den Ordner "0Vorlage" in seine ABteilung, werden die Rechte des Abteilungsordners geerbt und alles ist gut.
Feintuning ginge noch, wenn man mit einer Batch/ Powershell den Projektnamen erfragt und mithilfe dessen dann den Ordner kopiert.


(*) fsr = file share rights (als Beispiel)


Gruß
em-pie
Member: kpunkt
kpunkt Aug 29, 2022 updated at 12:57:04 (UTC)
Goto Top
Mag sich vielleicht dämlich anhören....
Sicherheitsgruppen?

Ah...oke....das soll dynamisch sein, wenn da User in den Abteilungen oder Projekten wechseln. Oder?

Würde ich aber dennoch per Sicherheitsgruppe und das semimanuell machen. Meiner Meinung nach ist das IT-Sache und nicht die der Projektleitung. Die hat der IT die User zu nennen und die IT steckt die dann in die Gruppen.
Gerne auch per CSV
https://blog.netwrix.de/2020/06/19/hinzufuegen-und-entfernen-von-active- ...

Wäre jetzt mein Ansatz. Ist bei mir alles überschaubar, da klappt das auch schlicht per RSAT.

Wenns dann nur um den Zugriff auf die entsprechenden Ordner geht, dann so wie von em-pie beschrieben.
Ein Ordner und Unterordner dann für die entsprechenden Projekte/Abteilungen.
Member: Looser27
Looser27 Aug 29, 2022 at 13:11:12 (UTC)
Goto Top
Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).

Dann muss das Skript einmalig nach Projektbeginn ausgeführt werden und alles Abteilungen hätten sofort Zugriff auf ihre Unterordner.

Ich frage mich nur, ob das flexibel genug ist???
Mitglied: 2423392070
2423392070 Aug 29, 2022 at 19:06:14 (UTC)
Goto Top
NTFS Rechte und Steuerung übers AD?
So zumindest bei uns für Hunderttausende Ordner.
Member: emeriks
emeriks Aug 30, 2022 updated at 06:17:58 (UTC)
Goto Top
Hi,
Zitat von @Looser27:

Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Wenn ich Dich richtig verstanden habe, dann soll doch für jeden Projektordner zwar die gleiche Struktur bei Unterordnern und Berechtigungen gelten aber eben nicht die selbe. D.h. du wirst je Projektordner eigene Gruppen für die Berechtigungen brauchen, in welche Du dann die Benutzerrollen verschachtelst.
Wenn das Script ein Projektleiter ausführen soll, dann benötigt dieser also nicht bloß Vollzugriff auf den neu erstellten Projektordner (damit er da Berechtigungen setzen kann) sondern auch noch Rechte im AD, um die Gruppen für die Berechtigungen erstellen und deren Mitglieder verwalten zu können.
Kann man so machen, muss man aber genau planen.

Oder Du machst ein Auftragssystem draus. Der Projektleiter erstellt mit einem Script nur eine Datei, in welcher die Anforderung steht. Ein Scheduled Task führt (z.B. alle 5 min) mit ausreichenden Berechtigungen ein anderes Script aus, welches diese Auftragsdatei verarbeitet, und dabei die standardisierte Ordnerstruktur auf dem Laufwerk und die Berechtigungsgruppen im AD erstellt, den neuen Gruppen die Rechte für die Ordner erteilt und die Mitglieder hinzufügt. Der Name des Projektordners und die zu berechtigenden Benutzerrollen müssen in der Auftragsdatei enthalten sein.

Irgendwie so.

Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Prinzipiell muss das keine doofe Idee sein. Zusammen mit Kontigenten und einem Rechte-Verwalter aus dieser Abteilung - und Du bist die Verwaltung dieser Ordner los. Du musst nur noch das Backup sicherstellen.
Aber: Du brauchst doch Projektordner und keine Abteilungsordner.

E.
Member: Looser27
Looser27 Aug 30, 2022 at 13:24:39 (UTC)
Goto Top
Ich habe mich mal dran gesetzt und ein Skript geschrieben, welches den Projektnamen abfragt, einen neuen Ordner für das Projekt anlegt und die Unterordner in definierter Folge erzeugt. Anschließend werden noch die Berechtigungen auf die Unterordner auf die Abteilungen eingegrenzt.
Das ganze hat nur das Problem, dass das Skript nur von einem Administrator ausgeführt werden kann (wg. der AD-Rechte). Zusätzlich haben die User keinerlei Rechte auf den übergeordneten Verzeichnissen, d.h. es können keine weiteren Unterordner für andere Abteilungen angelegt werden.
Wir werden sehen, was da schlussendlich bei rauskommt....erstmal danke für den Input.
Member: em-pie
em-pie Aug 30, 2022 updated at 13:31:54 (UTC)
Goto Top
Heisst das, innerhalb der "Projekte-Ordner" gibt es noch weitere Berechtigungsunterschiede?

Hätte gedacht, dass bei der Struktur
\\myServer\departments\
  DepA\
    Projekt 1\
      0 Orga
      1 Kosten
      2 Recherchen
      3 Lastenheft
      ....
      9 Abschluss
    Projekt 2\
      0 Orga
      1 Kosten
      2 Recherchen
      3 Lastenheft
      ....
      9 Abschluss
  DepB\
    Projekt 1\
      0 Orga
      1 Kosten
      2 Recherchen
      3 Lastenheft
      ....
      9 Abschluss
    Projekt 2\
      0 Orga
      1 Kosten
      2 Recherchen
      3 Lastenheft
      ....
      9 Abschluss

nur auf Ebene DepA bis DepZ berechtigt wird...

Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
Member: Looser27
Looser27 Aug 30, 2022 updated at 13:36:11 (UTC)
Goto Top
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??

Stimmt. Ich habe das Skript derzeit so geschrieben, dass es auf einem leeren Projekt-LW ausgeführt wird und dann mit jeder Ausführung ein Projekt erzeugt.
Unser Problem ist, dass wir demnächst sämtliche Daten auf eine neue Infrastruktur umziehen müssen. Und das derzeitige Berechtigungskonzept ist nicht gut (gewachsener Wildwuchs.....).
Ich könnte aus Deinem Beispiel natürlich einen Ordner definieren, diesen verstecken und aus diesem dann die Berechtigungen kopieren......vielleicht auch eine Option. Ich muss mal abwarten, für welche Version der Organisation sich die GF entscheidet.
Member: Looser27
Looser27 Aug 30, 2022 at 13:38:40 (UTC)
Goto Top
als Ergänzung:

Projekt A
* Abteilung A
* Abteilung B
* Abteilung C
...

Projekt B
* Abteilung A
* Abteilung B
* Abteilung C
...
Member: em-pie
em-pie Aug 30, 2022 at 13:50:46 (UTC)
Goto Top
Ahhh...
Mit der Struktur leuchtet es mehr ein.

Ich könnte aus Deinem Beispiel natürlich einen Ordner definieren, diesen verstecken und aus diesem dann die Berechtigungen kopieren......vielleicht auch eine Option
Das habe ich damals mit einem VBS-Script "xcacls.vbs" gelöst.
Ein Template-Ordner mit der relevanten Ordner- und Berechtigungsstruktur wurde von uns aus der IT angelegt. Es gab damals einen Verantwortlichen, der die Struktur im Template Ordner anpassen konnte (quasi der Head of Projects, würde es diese Position in einem kleinen KMU geben face-big-smile)
Per Batch wurde dann der neue Ordnername abgefragt, die Verzeichnisstruktur kopiert und danach via VBScript die Berechtigung noch mal "überschrieben".
Das VBS-Script hat den Head of Projects am Ende aus dem Produktivordner entfernt - ansonsten waren die Zielberechtigungen im Template schon enthalten