Verständnisfrage Hauptordner Berechtigung erteilen und gewisse Unterodner die Berechtigng entziehen
Hallo Zusammen
Ist es möglich, dass ich für Hauptordner A einer Gruppe Lese- und Schreibrechte zuweise, die sich auf den Hauptordner, alle Unterordner und Dateien darin erstrecken und dann bei gewisse Unterordner die Gruppe wieder entferne?
Die Absicht besteht darin, dass alle Mitglieder diese Hauptordner A und deren Unterordner B sehen und schreiben können und die Befugnis haben, darin Ordner zu erstellen. Es soll jedoch eine Ausnahme für 2-3 bestimmte Unterordner C geben, in denen abweichende Zugriffsrechte für andere Gruppen gelten. Diese Ordner dürfen nur von einer spezifischen Gruppe eingesehen werden.
Hauptordner A -> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.
Unterordner B-> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.
Unterordner C-> Lese/Schreib Recht nur für Gruppe Finanzen inkl. geltet das für alle Unterordner sowie Dateien.
Oder was ist hier die beste Lösung dafür ?
Vielen herzlichen Dank
Gruss Syosse
Ist es möglich, dass ich für Hauptordner A einer Gruppe Lese- und Schreibrechte zuweise, die sich auf den Hauptordner, alle Unterordner und Dateien darin erstrecken und dann bei gewisse Unterordner die Gruppe wieder entferne?
Die Absicht besteht darin, dass alle Mitglieder diese Hauptordner A und deren Unterordner B sehen und schreiben können und die Befugnis haben, darin Ordner zu erstellen. Es soll jedoch eine Ausnahme für 2-3 bestimmte Unterordner C geben, in denen abweichende Zugriffsrechte für andere Gruppen gelten. Diese Ordner dürfen nur von einer spezifischen Gruppe eingesehen werden.
Hauptordner A -> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.
Unterordner B-> Lese/Schreib Recht für Gruppe HR inkl. geltet das für alle Unterordner sowie Dateien.
Unterordner C-> Lese/Schreib Recht nur für Gruppe Finanzen inkl. geltet das für alle Unterordner sowie Dateien.
Oder was ist hier die beste Lösung dafür ?
Vielen herzlichen Dank
Gruss Syosse
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92753959187
Url: https://administrator.de/contentid/92753959187
Ausgedruckt am: 19.12.2024 um 13:12 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
normal wie die Kollegen es schon gesagt haben. Vererbung aufheben und Anpassungen vollziehen.
Bedenke nur Geräte-Accounts (Scanner / Drucker) ggf. mit einzubeziehen. Manche möchten immer den kompletten Pfad "sehen". Beschneidet man die Rechte auf den Hauptordner, so kann man nicht mehr scannen.
Für normale Windows Clients und User ist das kein Problem.
Behalte aber die Maschinen im Auge. Manche können auch kein DFS und man muss NAS direkt eingeben. Ricoh Drucker sind da mitunter noch nicht ganz soweit.
Dann sollte es kaum Probleme geben.
normal wie die Kollegen es schon gesagt haben. Vererbung aufheben und Anpassungen vollziehen.
Bedenke nur Geräte-Accounts (Scanner / Drucker) ggf. mit einzubeziehen. Manche möchten immer den kompletten Pfad "sehen". Beschneidet man die Rechte auf den Hauptordner, so kann man nicht mehr scannen.
Für normale Windows Clients und User ist das kein Problem.
Behalte aber die Maschinen im Auge. Manche können auch kein DFS und man muss NAS direkt eingeben. Ricoh Drucker sind da mitunter noch nicht ganz soweit.
Dann sollte es kaum Probleme geben.
Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.
Pfui! Solche Vererbungsbrüche sehe ich immer und immer wieder; die machen die Rechtevergabe zum absoluten Chaos! Liegt auf der gleichen Stufe wie die Gruppe "Jeder" für Freigabe- und NTFS-Rechte zu vergeben. Das sind die faulsten Sachen die man sich so leisten kann.
-Hauptordner (Gruppe Domänen-Benutzer, lesen, nur dieser Ordner)
--Unterordner1 (Gruppe Unterordner1, schreiben, dieser Ordner und darunter)
--Unterordner2 (Gruppe Unterordner2, schreiben, dieser Ordner und darunter)
--Unterordner3 (Gruppe Unterordner3, lesen, dieser Ordner und darunter)
--Unterordner4 (Gruppe Domänen-Benutzer, lesen, dieser Ordner und darunter)
Immer schön von oben nach unten berechtigen und dafür Rechtegruppen anlegen. In den Rechtegruppen dann die Abteilungen oder Leute reinpacken.
Vorteile:
- Man sieht direkt in der Rechtegruppe wer berechtigt ist
- Man kann Leute/Gruppen in der Rechtegruppe entfernen / hinzufügen OHNE die ganzen ACLs neuschreiben zu müssen (bei vielen Daten dauert das EWIG)
- Keine Vererbungsbrüche, nirgendwo!
- uvm.
Moin,
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.
Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.
Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.
Gruß,
Dani
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.
Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.
Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.
Gruß,
Dani
Zitat von @Dani:
Moin,
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.
Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.
Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.
Gruß,
Dani
Moin,
ich würde im Gegensatz zu meinen beiden Vorrednern einen anderen Ansatz verfolgen. Denn das hat zur Folge, wenn du mal in der Zukunft auf der obersten Ebene eine Gruppe berechtigen musst, musst du zusätzlich alle Unterverzeichnisse anlangen, welche du die Vererbung aufgebrochen hast. Das kann je nach Größe und Umfang eine Tages- oder Wochenaufgabe werden. Zumal du irgendwann die Übersicht über die Berechtigung verlierst.
Best Practice meiner Meinung nach ist, auf dem Hauptordner entsprechend die Berechtigungen mit Hilfe der erweiterten Berechtigungen zu verwalten. Sprich du wendest die Berechtigungen nur auf dem Hauptordner an. In der Regel ist das lesend, damit kein Benutzer neue Verzeichnisse anlegen oder verschieben kann.
Danach gibt es für die erste Eben der Unterordner entsprechende Gruppen. Idealfall sogar Trennung nach RO/WR/Change. So dass du über das AD später die Berechtigungen für Benutzer und Gruppen verwalten kannst. Somit reicht ein Blick in das AD und weißt wer Zugriff auf welche Verzeichnisse hat.
Gruß,
Dani
Genau das ;)
Moin @anteNope,
zwei Admins, ein Gedanke. Ich habe vor dem Schreiben noch in die Tischkante gebissen. Drum hat es bei etwas länger gedauert.
Gruß,
Dani
zwei Admins, ein Gedanke. Ich habe vor dem Schreiben noch in die Tischkante gebissen. Drum hat es bei etwas länger gedauert.
Gruß,
Dani
Auch wenn die anderen Vorschläge hier als Lösung markiert sind, würde ich dringend dazu raten, die Hinweise der Kollgen @anteNope und@Dani zu beachten und umzusetzen.
Viele Grüße, commodity
Viele Grüße, commodity
Zitat von @commodity:
Auch wenn die anderen Vorschläge hier als Lösung markiert sind, würde ich dringend dazu raten, die Hinweise der Kollgen @anteNope und@Dani zu beachten und umzusetzen.
Viele Grüße, commodity
Auch wenn die anderen Vorschläge hier als Lösung markiert sind, würde ich dringend dazu raten, die Hinweise der Kollgen @anteNope und@Dani zu beachten und umzusetzen.
Viele Grüße, commodity
Sehe ich auch so. Sind ja nur Ordnerberechtigungen. Die kann man mal eben gedanklich wie auch im Betrieb mal durchspielen und verinnerlichen.
Noch ist ja nichts in den Brunnen gefallen. Da nn hat man eine solide Grundlage.
so ganz verstehe ich diesen Einwand nicht:
Ich habe eine Ordnerstruktur mit 10 Unterordnern. Auf einem davon sollen jetzt spezielle Rechte gesetzt werden.
Nach "Best Practice" richte ich nun 10 Sicherheitsgruppen ein und berechtige jeden Ordner einzeln? Wobei 9 dieser Sicherheitsgruppen identische Mitglieder haben werden?
Ich kann den Vorteil gegenüber lediglich 2 Sicherheitsgruppen nicht erkennen... Eine für den Hauptordner und eine für z.B. "Hauptordner_Unterodner6". Selbst ohne irgendeine Dokumentation sehe ich sofort anhand des Namens im AD, dass für diesen einen Ordner abweichende Berechtigungen existieren.
Nein... Ich finde 10 Gruppen wirklich nicht übersichtlicher...
Gruß
Ich habe eine Ordnerstruktur mit 10 Unterordnern. Auf einem davon sollen jetzt spezielle Rechte gesetzt werden.
Nach "Best Practice" richte ich nun 10 Sicherheitsgruppen ein und berechtige jeden Ordner einzeln? Wobei 9 dieser Sicherheitsgruppen identische Mitglieder haben werden?
Ich kann den Vorteil gegenüber lediglich 2 Sicherheitsgruppen nicht erkennen... Eine für den Hauptordner und eine für z.B. "Hauptordner_Unterodner6". Selbst ohne irgendeine Dokumentation sehe ich sofort anhand des Namens im AD, dass für diesen einen Ordner abweichende Berechtigungen existieren.
Nein... Ich finde 10 Gruppen wirklich nicht übersichtlicher...
Gruß
Zitat von @anteNope:
Pfui! Solche Vererbungsbrüche sehe ich immer und immer wieder; die machen die Rechtevergabe zum absoluten Chaos! Liegt auf der gleichen Stufe wie die Gruppe "Jeder" für Freigabe- und NTFS-Rechte zu vergeben. Das sind die faulsten Sachen die man sich so leisten kann.
-Hauptordner (Gruppe Domänen-Benutzer, lesen, nur dieser Ordner)
--Unterordner1 (Gruppe Unterordner1, schreiben, dieser Ordner und darunter)
--Unterordner2 (Gruppe Unterordner2, schreiben, dieser Ordner und darunter)
--Unterordner3 (Gruppe Unterordner3, lesen, dieser Ordner und darunter)
--Unterordner4 (Gruppe Domänen-Benutzer, lesen, dieser Ordner und darunter)
Immer schön von oben nach unten berechtigen und dafür Rechtegruppen anlegen. In den Rechtegruppen dann die Abteilungen oder Leute reinpacken.
Vorteile:
Du musst einfach die Vererbung für die Unterordner deaktivieren und die Rechte deinen Wünschen entsprechend setzen.
Pfui! Solche Vererbungsbrüche sehe ich immer und immer wieder; die machen die Rechtevergabe zum absoluten Chaos! Liegt auf der gleichen Stufe wie die Gruppe "Jeder" für Freigabe- und NTFS-Rechte zu vergeben. Das sind die faulsten Sachen die man sich so leisten kann.
-Hauptordner (Gruppe Domänen-Benutzer, lesen, nur dieser Ordner)
--Unterordner1 (Gruppe Unterordner1, schreiben, dieser Ordner und darunter)
--Unterordner2 (Gruppe Unterordner2, schreiben, dieser Ordner und darunter)
--Unterordner3 (Gruppe Unterordner3, lesen, dieser Ordner und darunter)
--Unterordner4 (Gruppe Domänen-Benutzer, lesen, dieser Ordner und darunter)
Immer schön von oben nach unten berechtigen und dafür Rechtegruppen anlegen. In den Rechtegruppen dann die Abteilungen oder Leute reinpacken.
Vorteile:
- Man sieht direkt in der Rechtegruppe wer berechtigt ist
- Man kann Leute/Gruppen in der Rechtegruppe entfernen / hinzufügen OHNE die ganzen ACLs neuschreiben zu müssen (bei vielen Daten dauert das EWIG)
- Keine Vererbungsbrüche, nirgendwo!
- uvm.
Und was ist jetzt an meiner Aussage falsch? Handhabe das genau so wie du es vorgeschlagen hast. Die Vererbung muss aufgebrochen werden und das ist Fakt. Werde hier jetzt keinem vorkauen wie er die Rechte zu vergeben hat.
Doch.. Gleich in der Root...
Moin,
Für die Hauptebene hat man in der Regel drei Gruppen
Danach hast du für die 10 Unterordner mindestens 10 Sicherheitsgruppen. Denn erfolgt hier ebenfalls eine Abstufung ist es sinnvoll ebenfalls RO/WR Gruppen zu definieren. Das sind oftmals die Ressource Gruppen im AD.
In größeren Umgebungen spielen dann auch AD Trusts noch ein Rolle, wenn dann Gruppen aus anderen Domänen auf lokale Ressourcen berechtigt werden sollen. Oder mal eine Active Directory-Forest Migration ansteht, weiß man was man an diesem Design hat.
Und so kannst du ein sehr flexibles und skalierbares Berechtigungskonzept auf die Füße stellen. Das jedem Anspruch (Sicherheit, Doku, Audit, etc.) stand hält und vor allem überschaubar bleibt. Wechsels eines Projekt- oder Team-Leitung? Kein Problem, ist eine Sache von 10 Sekunden.
Klar bei 10 Verzeichnissen ist die Frage der Verhältnismäßigkeit. Aber in der Regel sind die Fileserver in den letzten Jahren gewachsen und in großen Umgebungen führt da kein Weg dran vorbei.
Gruß,
Dani
Doch.. Gleich in der Root... face-smile
Wenn du mit Root das erste Verzeichnis im Laufwerk meinst, bin ich bei dir. Ansonsten nicht.Handhabe das genau so wie du es vorgeschlagen hast. Die Vererbung muss aufgebrochen werden und das ist Fakt.
Die Vererbung wird direkt auf dem Hauptverzeichnis, z.B. D:\Data aufgebrochen. und auf keinen weiteren Unterverzeichnisse.Nach "Best Practice" richte ich nun 10 Sicherheitsgruppen ein und berechtige jeden Ordner einzeln?
Du hast in diesem Fall 13-23 Gruppen.Für die Hauptebene hat man in der Regel drei Gruppen
- Read/List Dir
- Write/Change
- Full Control (letztes ist für die Admins)
Danach hast du für die 10 Unterordner mindestens 10 Sicherheitsgruppen. Denn erfolgt hier ebenfalls eine Abstufung ist es sinnvoll ebenfalls RO/WR Gruppen zu definieren. Das sind oftmals die Ressource Gruppen im AD.
Wobei 9 dieser Sicherheitsgruppen identische Mitglieder haben werden?
In deinem Fall würde es zwei weitere Gruppen im AD geben. Diese werden üblicherweise als Rollen Gruppe definiert. Eine solche Gruppe kann natürlich dann in mehreren Ressourcen Gruppen Mitglied sein. Aber auf keinen Fall sollten Berechtigungen direkt an ein Benutzerkonto verknüpft werden. Das fällt einem früher oder später auf die Füße.In größeren Umgebungen spielen dann auch AD Trusts noch ein Rolle, wenn dann Gruppen aus anderen Domänen auf lokale Ressourcen berechtigt werden sollen. Oder mal eine Active Directory-Forest Migration ansteht, weiß man was man an diesem Design hat.
Und so kannst du ein sehr flexibles und skalierbares Berechtigungskonzept auf die Füße stellen. Das jedem Anspruch (Sicherheit, Doku, Audit, etc.) stand hält und vor allem überschaubar bleibt. Wechsels eines Projekt- oder Team-Leitung? Kein Problem, ist eine Sache von 10 Sekunden.
Klar bei 10 Verzeichnissen ist die Frage der Verhältnismäßigkeit. Aber in der Regel sind die Fileserver in den letzten Jahren gewachsen und in großen Umgebungen führt da kein Weg dran vorbei.
Gruß,
Dani
Keine Vererbungsbrüche und viele Gruppen helfen auch nach Jahren, wenn der Server gut gefüllt ist und man alles verschieben oder sonst was ändern muss.
Die paar Ordner ohne Vererbung sorgen dann für Freude. Bei solchen ist der Admin ganz schnell nicht mehr Owner und du kannst dich mit takeown & Co durch Datenmengen auf der alten Storage quälen...
Die paar Ordner ohne Vererbung sorgen dann für Freude. Bei solchen ist der Admin ganz schnell nicht mehr Owner und du kannst dich mit takeown & Co durch Datenmengen auf der alten Storage quälen...