syosse
Goto Top

Verständnisfrage Hauptordner Berechtigung erteilen und gewisse Unterodner die Berechtigng entziehen

Hallo Zusammen

Ist es möglich, dass ich für Hauptordner A einer Gruppe Lese- und Schreibrechte zuweise, die sich auf den Hauptordner, alle Unterordner und Dateien darin erstrecken und dann bei gewisse Unterordner die Gruppe wieder entferne?

Die Absicht besteht darin, dass alle Mitglieder diese Hauptordner A und deren Unterordner B sehen und schreiben können und die Befugnis haben, darin Ordner zu erstellen. Es soll jedoch eine Ausnahme für 2-3 bestimmte Unterordner C geben, in denen abweichende Zugriffsrechte für andere Gruppen gelten. Diese Ordner dürfen nur von einer spezifischen Gruppe eingesehen werden.

Hauptordner A -> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.


Unterordner B-> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.
Unterordner C-> Lese/Schreib Recht nur für Gruppe Finanzen inkl. geltet das für alle Unterordner sowie Dateien.


Oder was ist hier die beste Lösung dafür ?


Vielen herzlichen Dank
Gruss Syosse

Content-Key: 92753959187

Url: https://administrator.de/contentid/92753959187

Printed on: February 25, 2024 at 12:02 o'clock

Member: elix2k
Solution elix2k Dec 06, 2023 at 09:09:57 (UTC)
Goto Top
Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.
vererbung
Member: Hubert.N
Solution Hubert.N Dec 06, 2023 at 09:11:47 (UTC)
Goto Top
Moin

ja sicher... "Standard"...

Du vergibst für den Hauptordner die gewünschten Rechte inkl. Vererbung. Für die abweichenden Ordner hebst Du dann die Vererbung auf und konfigurierst die Zugriffsrechte wie gewünscht.

Gruß
Member: Syosse
Syosse Dec 06, 2023 at 09:16:22 (UTC)
Goto Top
Zitat von @elix2k:

Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.

Vielen herzlichen Dank

Stimmt, ich idiot beim Unterordner selber ist ja die Option auch möglich. -.-


Zitat von @elix2k:

Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.

Vielen herzlichen Dank

Ja, jetzt ist es mir eingefallen. Dumm von mir -.-


Vielen Dank nochmals!
Gruss Syosse
Member: Crusher79
Solution Crusher79 Dec 06, 2023 at 09:16:30 (UTC)
Goto Top
Hallo,

normal wie die Kollegen es schon gesagt haben. Vererbung aufheben und Anpassungen vollziehen.

Bedenke nur Geräte-Accounts (Scanner / Drucker) ggf. mit einzubeziehen. Manche möchten immer den kompletten Pfad "sehen". Beschneidet man die Rechte auf den Hauptordner, so kann man nicht mehr scannen.

Für normale Windows Clients und User ist das kein Problem.

Behalte aber die Maschinen im Auge. Manche können auch kein DFS und man muss NAS direkt eingeben. Ricoh Drucker sind da mitunter noch nicht ganz soweit.

Dann sollte es kaum Probleme geben.
Member: Syosse
Syosse Dec 06, 2023 at 09:20:45 (UTC)
Goto Top
Zitat von @Crusher79:

Hallo,

normal wie die Kollegen es schon gesagt haben. Vererbung aufheben und Anpassungen vollziehen.

Bedenke nur Geräte-Accounts (Scanner / Drucker) ggf. mit einzubeziehen. Manche möchten immer den kompletten Pfad "sehen". Beschneidet man die Rechte auf den Hauptordner, so kann man nicht mehr scannen.

Für normale Windows Clients und User ist das kein Problem.

Behalte aber die Maschinen im Auge. Manche können auch kein DFS und man muss NAS direkt eingeben. Ricoh Drucker sind da mitunter noch nicht ganz soweit.

Dann sollte es kaum Probleme geben.

Vielen herzlichen Dank

Werde mich darauf achten. Vielen Dank
Zurzeit sind nur Windows Clients im Betrieb die auf den Ordner zugreifen.
Ja, bei Rico gab es desöfteren Problem auch mit anderen Diensten wie IMAP Scan to Mail etc.

Gruss Syosse
Member: anteNope
Solution anteNope Dec 06, 2023 updated at 09:22:21 (UTC)
Goto Top
Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.

Pfui! Solche Vererbungsbrüche sehe ich immer und immer wieder; die machen die Rechtevergabe zum absoluten Chaos! Liegt auf der gleichen Stufe wie die Gruppe "Jeder" für Freigabe- und NTFS-Rechte zu vergeben. Das sind die faulsten Sachen die man sich so leisten kann.

-Hauptordner (Gruppe Domänen-Benutzer, lesen, nur dieser Ordner)
--Unterordner1 (Gruppe Unterordner1, schreiben, dieser Ordner und darunter)
--Unterordner2 (Gruppe Unterordner2, schreiben, dieser Ordner und darunter)
--Unterordner3 (Gruppe Unterordner3, lesen, dieser Ordner und darunter)
--Unterordner4 (Gruppe Domänen-Benutzer, lesen, dieser Ordner und darunter)

Immer schön von oben nach unten berechtigen und dafür Rechtegruppen anlegen. In den Rechtegruppen dann die Abteilungen oder Leute reinpacken.

Vorteile:
  • Man sieht direkt in der Rechtegruppe wer berechtigt ist
  • Man kann Leute/Gruppen in der Rechtegruppe entfernen / hinzufügen OHNE die ganzen ACLs neuschreiben zu müssen (bei vielen Daten dauert das EWIG)
  • Keine Vererbungsbrüche, nirgendwo!
  • uvm.
Member: Dani
Solution Dani Dec 06, 2023 at 09:23:15 (UTC)
Goto Top
Moin,
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.

Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.

Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.


Gruß,
Dani
Member: anteNope
anteNope Dec 06, 2023 at 09:28:34 (UTC)
Goto Top
Zitat von @Dani:

Moin,
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.

Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.

Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.


Gruß,
Dani

Genau das ;)
Member: Dani
Dani Dec 06, 2023 at 09:31:10 (UTC)
Goto Top
Moin @anteNope,
zwei Admins, ein Gedanke. Ich habe vor dem Schreiben noch in die Tischkante gebissen. Drum hat es bei etwas länger gedauert. face-wink


Gruß,
Dani
Member: commodity
commodity Dec 06, 2023 at 09:45:06 (UTC)
Goto Top
Auch wenn die anderen Vorschläge hier als Lösung markiert sind, würde ich dringend dazu raten, die Hinweise der Kollgen @anteNope und@Dani zu beachten und umzusetzen.

Viele Grüße, commodity
Member: Crusher79
Crusher79 Dec 06, 2023 at 09:50:23 (UTC)
Goto Top
Zitat von @commodity:

Auch wenn die anderen Vorschläge hier als Lösung markiert sind, würde ich dringend dazu raten, die Hinweise der Kollgen @anteNope und@Dani zu beachten und umzusetzen.

Viele Grüße, commodity

Sehe ich auch so. Sind ja nur Ordnerberechtigungen. Die kann man mal eben gedanklich wie auch im Betrieb mal durchspielen und verinnerlichen.

Noch ist ja nichts in den Brunnen gefallen. Da nn hat man eine solide Grundlage.
Member: Hubert.N
Hubert.N Dec 06, 2023 at 10:13:42 (UTC)
Goto Top
so ganz verstehe ich diesen Einwand nicht:
Ich habe eine Ordnerstruktur mit 10 Unterordnern. Auf einem davon sollen jetzt spezielle Rechte gesetzt werden.
Nach "Best Practice" richte ich nun 10 Sicherheitsgruppen ein und berechtige jeden Ordner einzeln? Wobei 9 dieser Sicherheitsgruppen identische Mitglieder haben werden?
Ich kann den Vorteil gegenüber lediglich 2 Sicherheitsgruppen nicht erkennen... Eine für den Hauptordner und eine für z.B. "Hauptordner_Unterodner6". Selbst ohne irgendeine Dokumentation sehe ich sofort anhand des Namens im AD, dass für diesen einen Ordner abweichende Berechtigungen existieren.
Nein... Ich finde 10 Gruppen wirklich nicht übersichtlicher...

Gruß
Member: elix2k
elix2k Dec 06, 2023 at 10:28:06 (UTC)
Goto Top
Zitat von @anteNope:

Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.

Pfui! Solche Vererbungsbrüche sehe ich immer und immer wieder; die machen die Rechtevergabe zum absoluten Chaos! Liegt auf der gleichen Stufe wie die Gruppe "Jeder" für Freigabe- und NTFS-Rechte zu vergeben. Das sind die faulsten Sachen die man sich so leisten kann.

-Hauptordner (Gruppe Domänen-Benutzer, lesen, nur dieser Ordner)
--Unterordner1 (Gruppe Unterordner1, schreiben, dieser Ordner und darunter)
--Unterordner2 (Gruppe Unterordner2, schreiben, dieser Ordner und darunter)
--Unterordner3 (Gruppe Unterordner3, lesen, dieser Ordner und darunter)
--Unterordner4 (Gruppe Domänen-Benutzer, lesen, dieser Ordner und darunter)

Immer schön von oben nach unten berechtigen und dafür Rechtegruppen anlegen. In den Rechtegruppen dann die Abteilungen oder Leute reinpacken.

Vorteile:
  • Man sieht direkt in der Rechtegruppe wer berechtigt ist
  • Man kann Leute/Gruppen in der Rechtegruppe entfernen / hinzufügen OHNE die ganzen ACLs neuschreiben zu müssen (bei vielen Daten dauert das EWIG)
  • Keine Vererbungsbrüche, nirgendwo!
  • uvm.

Und was ist jetzt an meiner Aussage falsch? Handhabe das genau so wie du es vorgeschlagen hast. Die Vererbung muss aufgebrochen werden und das ist Fakt. Werde hier jetzt keinem vorkauen wie er die Rechte zu vergeben hat.
Member: Hubert.N
Hubert.N Dec 06, 2023 at 11:02:25 (UTC)
Goto Top
Zitat von @anteNope:
  • Keine Vererbungsbrüche, nirgendwo!

Doch.. Gleich in der Root... face-smile
Member: Dani
Dani Dec 06, 2023 at 11:30:43 (UTC)
Goto Top
Moin,
Doch.. Gleich in der Root... face-smile
Wenn du mit Root das erste Verzeichnis im Laufwerk meinst, bin ich bei dir. Ansonsten nicht.

Handhabe das genau so wie du es vorgeschlagen hast. Die Vererbung muss aufgebrochen werden und das ist Fakt.
Die Vererbung wird direkt auf dem Hauptverzeichnis, z.B. D:\Data aufgebrochen. und auf keinen weiteren Unterverzeichnisse.

Nach "Best Practice" richte ich nun 10 Sicherheitsgruppen ein und berechtige jeden Ordner einzeln?
Du hast in diesem Fall 13-23 Gruppen.

Für die Hauptebene hat man in der Regel drei Gruppen
  • Read/List Dir
  • Write/Change
  • Full Control (letztes ist für die Admins)

Danach hast du für die 10 Unterordner mindestens 10 Sicherheitsgruppen. Denn erfolgt hier ebenfalls eine Abstufung ist es sinnvoll ebenfalls RO/WR Gruppen zu definieren. Das sind oftmals die Ressource Gruppen im AD.

Wobei 9 dieser Sicherheitsgruppen identische Mitglieder haben werden?
In deinem Fall würde es zwei weitere Gruppen im AD geben. Diese werden üblicherweise als Rollen Gruppe definiert. Eine solche Gruppe kann natürlich dann in mehreren Ressourcen Gruppen Mitglied sein. Aber auf keinen Fall sollten Berechtigungen direkt an ein Benutzerkonto verknüpft werden. Das fällt einem früher oder später auf die Füße.

In größeren Umgebungen spielen dann auch AD Trusts noch ein Rolle, wenn dann Gruppen aus anderen Domänen auf lokale Ressourcen berechtigt werden sollen. Oder mal eine Active Directory-Forest Migration ansteht, weiß man was man an diesem Design hat.

Und so kannst du ein sehr flexibles und skalierbares Berechtigungskonzept auf die Füße stellen. Das jedem Anspruch (Sicherheit, Doku, Audit, etc.) stand hält und vor allem überschaubar bleibt. Wechsels eines Projekt- oder Team-Leitung? Kein Problem, ist eine Sache von 10 Sekunden.

Klar bei 10 Verzeichnissen ist die Frage der Verhältnismäßigkeit. Aber in der Regel sind die Fileserver in den letzten Jahren gewachsen und in großen Umgebungen führt da kein Weg dran vorbei.


Gruß,
Dani
Member: Starmanager
Starmanager Dec 06, 2023 at 17:00:52 (UTC)
Goto Top
Mit Vererbung unterbrechen kann man auf die Schnauze fallen. Einmal nicht darauf geachtet und die Berechtigungen nochmal durchreichen und alles ist im Eimer.
Member: Dirmhirn
Dirmhirn Dec 06, 2023 at 18:57:50 (UTC)
Goto Top
Keine Vererbungsbrüche und viele Gruppen helfen auch nach Jahren, wenn der Server gut gefüllt ist und man alles verschieben oder sonst was ändern muss.
Die paar Ordner ohne Vererbung sorgen dann für Freude. Bei solchen ist der Admin ganz schnell nicht mehr Owner und du kannst dich mit takeown & Co durch Datenmengen auf der alten Storage quälen...