Userrechte Vergabe in wiederkehrenden Strukturen
Guten Tag,
ich möchte die Laufwerksstruktur in einer gewachsenen Umgebung inkl. Rechtevergabe automatisieren.
Von den Kollegen würde im Moment ein LW "Projekte" mit Unterordnern für die einzelnen Abteilungen favorisiert.
Der Haken hierbei ist, dass Abteilung A nicht auf die Verzeichnisse von Abteilung B zugreifen darf.
Wie habt ihr sowas gelöst? Skript über Powershell? Batch-Datei?
Ich möchte eine Vorlage erstellen, die bei einem neuen Projekt vom Projektleiter einmalig ausgeführt wird und sofort alles passt ohne dass die IT nochmal nachjustieren muss.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Gruß
Looser
ich möchte die Laufwerksstruktur in einer gewachsenen Umgebung inkl. Rechtevergabe automatisieren.
Von den Kollegen würde im Moment ein LW "Projekte" mit Unterordnern für die einzelnen Abteilungen favorisiert.
Der Haken hierbei ist, dass Abteilung A nicht auf die Verzeichnisse von Abteilung B zugreifen darf.
Wie habt ihr sowas gelöst? Skript über Powershell? Batch-Datei?
Ich möchte eine Vorlage erstellen, die bei einem neuen Projekt vom Projektleiter einmalig ausgeführt wird und sofort alles passt ohne dass die IT nochmal nachjustieren muss.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Gruß
Looser
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3782416380
Url: https://administrator.de/forum/userrechte-vergabe-in-wiederkehrenden-strukturen-3782416380.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
leg auf eurem Filerserver
unter
Auf den Ordner
Auf die (Unter)Ordner der Abteilung A haben nur die Mitglieder der Gruppe
Aber alle Abteilungen haben Leserechte (wichtig bei der "Anwenden auf": "Diesen Ordner " wählen) auf alle Abteilungsordner, damit die Berechtigungen gelesen werden können - Einsicht auf Unterordner hat keiner.
Kopiert ein Projekt-/ ABteilungsleiter nun den Ordner "0Vorlage" in seine ABteilung, werden die Rechte des Abteilungsordners geerbt und alles ist gut.
Feintuning ginge noch, wenn man mit einer Batch/ Powershell den Projektnamen erfragt und mithilfe dessen dann den Ordner kopiert.
(*) fsr = file share rights (als Beispiel)
Gruß
em-pie
leg auf eurem Filerserver
TheFilesServer
eine Freigabe Projekte
an.unter
\\TheFileServer\Projekte
legst du dann folgende Ordnerstruktur an:- 0Vorlage
- Abteilung A
- Abteilung B
- Abteilung C
- ...
- Abteilung O
Auf den Ordner
0Vorlage
haben alle Leserechte.Auf die (Unter)Ordner der Abteilung A haben nur die Mitglieder der Gruppe
fsr_abteilung-a
*, auf die (Unter)Ordner der Abteilung K nur die Mitglieder der Gruppe fsr_abteilung-k
Schreib-/ Leserechte.Aber alle Abteilungen haben Leserechte (wichtig bei der "Anwenden auf": "Diesen Ordner " wählen) auf alle Abteilungsordner, damit die Berechtigungen gelesen werden können - Einsicht auf Unterordner hat keiner.
Kopiert ein Projekt-/ ABteilungsleiter nun den Ordner "0Vorlage" in seine ABteilung, werden die Rechte des Abteilungsordners geerbt und alles ist gut.
Feintuning ginge noch, wenn man mit einer Batch/ Powershell den Projektnamen erfragt und mithilfe dessen dann den Ordner kopiert.
(*) fsr = file share rights (als Beispiel)
Gruß
em-pie
Mag sich vielleicht dämlich anhören....
Sicherheitsgruppen?
Ah...oke....das soll dynamisch sein, wenn da User in den Abteilungen oder Projekten wechseln. Oder?
Würde ich aber dennoch per Sicherheitsgruppe und das semimanuell machen. Meiner Meinung nach ist das IT-Sache und nicht die der Projektleitung. Die hat der IT die User zu nennen und die IT steckt die dann in die Gruppen.
Gerne auch per CSV
https://blog.netwrix.de/2020/06/19/hinzufuegen-und-entfernen-von-active- ...
Wäre jetzt mein Ansatz. Ist bei mir alles überschaubar, da klappt das auch schlicht per RSAT.
Wenns dann nur um den Zugriff auf die entsprechenden Ordner geht, dann so wie von em-pie beschrieben.
Ein Ordner und Unterordner dann für die entsprechenden Projekte/Abteilungen.
Sicherheitsgruppen?
Ah...oke....das soll dynamisch sein, wenn da User in den Abteilungen oder Projekten wechseln. Oder?
Würde ich aber dennoch per Sicherheitsgruppe und das semimanuell machen. Meiner Meinung nach ist das IT-Sache und nicht die der Projektleitung. Die hat der IT die User zu nennen und die IT steckt die dann in die Gruppen.
Gerne auch per CSV
https://blog.netwrix.de/2020/06/19/hinzufuegen-und-entfernen-von-active- ...
Wäre jetzt mein Ansatz. Ist bei mir alles überschaubar, da klappt das auch schlicht per RSAT.
Wenns dann nur um den Zugriff auf die entsprechenden Ordner geht, dann so wie von em-pie beschrieben.
Ein Ordner und Unterordner dann für die entsprechenden Projekte/Abteilungen.
NTFS Rechte und Steuerung übers AD?
So zumindest bei uns für Hunderttausende Ordner.
So zumindest bei uns für Hunderttausende Ordner.
Hi,
Wenn das Script ein Projektleiter ausführen soll, dann benötigt dieser also nicht bloß Vollzugriff auf den neu erstellten Projektordner (damit er da Berechtigungen setzen kann) sondern auch noch Rechte im AD, um die Gruppen für die Berechtigungen erstellen und deren Mitglieder verwalten zu können.
Kann man so machen, muss man aber genau planen.
Oder Du machst ein Auftragssystem draus. Der Projektleiter erstellt mit einem Script nur eine Datei, in welcher die Anforderung steht. Ein Scheduled Task führt (z.B. alle 5 min) mit ausreichenden Berechtigungen ein anderes Script aus, welches diese Auftragsdatei verarbeitet, und dabei die standardisierte Ordnerstruktur auf dem Laufwerk und die Berechtigungsgruppen im AD erstellt, den neuen Gruppen die Rechte für die Ordner erteilt und die Mitglieder hinzufügt. Der Name des Projektordners und die zu berechtigenden Benutzerrollen müssen in der Auftragsdatei enthalten sein.
Irgendwie so.
Aber: Du brauchst doch Projektordner und keine Abteilungsordner.
E.
Zitat von @Looser27:
Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Wenn ich Dich richtig verstanden habe, dann soll doch für jeden Projektordner zwar die gleiche Struktur bei Unterordnern und Berechtigungen gelten aber eben nicht die selbe. D.h. du wirst je Projektordner eigene Gruppen für die Berechtigungen brauchen, in welche Du dann die Benutzerrollen verschachtelst.Ich habe mit überlegt, auf dem Projektlaufwerk in einem Ordner (mit Lesen+Ausführen-Berechtigungen für die Projektleiter) ein PS-Skript zu parken, welches den Projektnamen abfragt. Mit diesem Namen dann ein neues Projekt anlegen, Unterordner erzeugen und die Rechte über das Skript anlegen lassen.
Berechtigungen auf die Unterordner dann über im Skript hinterlegte Gruppen (Gruppen aus dem AD).
Wenn das Script ein Projektleiter ausführen soll, dann benötigt dieser also nicht bloß Vollzugriff auf den neu erstellten Projektordner (damit er da Berechtigungen setzen kann) sondern auch noch Rechte im AD, um die Gruppen für die Berechtigungen erstellen und deren Mitglieder verwalten zu können.
Kann man so machen, muss man aber genau planen.
Oder Du machst ein Auftragssystem draus. Der Projektleiter erstellt mit einem Script nur eine Datei, in welcher die Anforderung steht. Ein Scheduled Task führt (z.B. alle 5 min) mit ausreichenden Berechtigungen ein anderes Script aus, welches diese Auftragsdatei verarbeitet, und dabei die standardisierte Ordnerstruktur auf dem Laufwerk und die Berechtigungsgruppen im AD erstellt, den neuen Gruppen die Rechte für die Ordner erteilt und die Mitglieder hinzufügt. Der Name des Projektordners und die zu berechtigenden Benutzerrollen müssen in der Auftragsdatei enthalten sein.
Irgendwie so.
Die Alternative wäre, dass jede Abteilung ein eigenes LW bekommt und darin dann tun und lassen kann......
Prinzipiell muss das keine doofe Idee sein. Zusammen mit Kontigenten und einem Rechte-Verwalter aus dieser Abteilung - und Du bist die Verwaltung dieser Ordner los. Du musst nur noch das Backup sicherstellen.Aber: Du brauchst doch Projektordner und keine Abteilungsordner.
E.
Heisst das, innerhalb der "Projekte-Ordner" gibt es noch weitere Berechtigungsunterschiede?
Hätte gedacht, dass bei der Struktur
nur auf Ebene DepA bis DepZ berechtigt wird...
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
Hätte gedacht, dass bei der Struktur
\\myServer\departments\
DepA\
Projekt 1\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
Projekt 2\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
DepB\
Projekt 1\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
Projekt 2\
0 Orga
1 Kosten
2 Recherchen
3 Lastenheft
....
9 Abschluss
nur auf Ebene DepA bis DepZ berechtigt wird...
Wenn dem so ist, brauchst du doch keinen AD-Zugriff, oder?
der kann doch die Berechtigungen aus DepA übernehmen??
Ahhh...
Mit der Struktur leuchtet es mehr ein.
Ein Template-Ordner mit der relevanten Ordner- und Berechtigungsstruktur wurde von uns aus der IT angelegt. Es gab damals einen Verantwortlichen, der die Struktur im Template Ordner anpassen konnte (quasi der Head of Projects, würde es diese Position in einem kleinen KMU geben )
Per Batch wurde dann der neue Ordnername abgefragt, die Verzeichnisstruktur kopiert und danach via VBScript die Berechtigung noch mal "überschrieben".
Das VBS-Script hat den Head of Projects am Ende aus dem Produktivordner entfernt - ansonsten waren die Zielberechtigungen im Template schon enthalten
Mit der Struktur leuchtet es mehr ein.
Ich könnte aus Deinem Beispiel natürlich einen Ordner definieren, diesen verstecken und aus diesem dann die Berechtigungen kopieren......vielleicht auch eine Option
Das habe ich damals mit einem VBS-Script "xcacls.vbs" gelöst.Ein Template-Ordner mit der relevanten Ordner- und Berechtigungsstruktur wurde von uns aus der IT angelegt. Es gab damals einen Verantwortlichen, der die Struktur im Template Ordner anpassen konnte (quasi der Head of Projects, würde es diese Position in einem kleinen KMU geben )
Per Batch wurde dann der neue Ordnername abgefragt, die Verzeichnisstruktur kopiert und danach via VBScript die Berechtigung noch mal "überschrieben".
Das VBS-Script hat den Head of Projects am Ende aus dem Produktivordner entfernt - ansonsten waren die Zielberechtigungen im Template schon enthalten