Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?
Guten Abend.
Ein Kunde wünscht sich folgendes:
Jeder Teamleiter soll Lese und Schreibzugriff auf die Nutzerordner der Mitarbeiter in der Abteilung haben.
Grundsätzlich kein großes Problem, aber wie würde man vorgehen, das entsprechend zu automatisieren?
Die Nutzerordner werden mittels Ordnerumleitung zentral abgelegt.
Aber wie schaffe ich es, dass beim Wechsel eines Mitarbeiters nicht n eine andere Abteilung automatisch der Zugriff für den ehemaligen Abteilungsleiter verboten wird und für den neuen erlaubt wird?
Ich habe keine Lust, manuell immer an die Berechtigungen zu denken, wenn ein MA die Abteilung wechselt.
Ich stehe hier etwas auf dem Schlauch.
Danke für jeden Gedankenanstoß und schöne Ostern.
Ein Kunde wünscht sich folgendes:
Jeder Teamleiter soll Lese und Schreibzugriff auf die Nutzerordner der Mitarbeiter in der Abteilung haben.
Grundsätzlich kein großes Problem, aber wie würde man vorgehen, das entsprechend zu automatisieren?
Die Nutzerordner werden mittels Ordnerumleitung zentral abgelegt.
Aber wie schaffe ich es, dass beim Wechsel eines Mitarbeiters nicht n eine andere Abteilung automatisch der Zugriff für den ehemaligen Abteilungsleiter verboten wird und für den neuen erlaubt wird?
Ich habe keine Lust, manuell immer an die Berechtigungen zu denken, wenn ein MA die Abteilung wechselt.
Ich stehe hier etwas auf dem Schlauch.
Danke für jeden Gedankenanstoß und schöne Ostern.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6672247226
Url: https://administrator.de/forum/zugriff-fuer-abteilungsleiter-auf-mitarbeiter-nutzerordner-automatisieren-6672247226.html
Ausgedruckt am: 27.12.2024 um 11:12 Uhr
12 Kommentare
Neuester Kommentar
Zitat von @RamboJay:
Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.
Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.
Genau das habe ich gerade gemacht:
unbedingt testen! Ich habe bei mir ein paar Testordner für Benutzer angelegt und die Manager hin und hergewechselt, hat alles geklappt.
Kann man je nach AD-Größe und Dringlichkeit täglich/halbtäglich/stündlich etc. ausführen
Skript setzt voraus:
- Das Manager-Attribut im AD wird verwendet um den Vorgesetzten festzulegen
- AD-Modul für PS
- Profilordner als Unterordner von $ProfilesShare mit sAMAccountName des Benutzers als Ordnername (\\Pfad\zu\Profilordner\sAMAccountName)
- außer dem eigenen User und dem Manager sind keine weiteren Nutzer in den NTFS-Berechtigungen des Ordners eingetragen (abgesehen von vererbten Berechtigungen)
$ProfilesShare = '\\pfad\zu\Profilordner'
$allUsers = Get-ADUser -Filter 'Enabled -eq $true' -Properties Manager
foreach ($user in $allUsers) {
$userSharePath = "$ProfilesShare\$($user.SamAccountName)"
if(Test-Path $userSharePath){
$manager = Get-ADUser $user.Manager
# aktuelle ACL abrufen
$currentACL = Get-Acl $userSharePath
# Fullaccess & nicht vererbt & nicht eigener User = Manager
$currentShareManager = (($currentACL.Access | Where-Object -FilterScript {$_.FileSystemRights -eq "FullControl" -and $_.IsInherited -eq $False -and $_.IdentityReference -notmatch $user.SamAccountName}).IdentityReference.Value -split "\\")[-1]
if($currentShareManager -ne $manager.SamAccountName){
# In der ACL vom Share eingetragener FullAccess ist nicht der Manager
# AccessRule vorbereiten
$fileSystemRights = "FullControl"
$type = "Allow"
$inheritance = 'ContainerInherit, ObjectInherit'
$propagation = 'None'
if($currentShareManager){
# Aktuellen Manager in der ACL entfernen
# Zu entfernende AccessRule zusammenschustern
$identity = $currentShareManager
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# AccessRule entfernen
$currentACL.RemoveAccessRule($fileSystemAccessRule)
}
# Neue AccessRule zusammenschustern
$identity = $manager.SamAccountName
$fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
$fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
# AccessRule der aktuellen ACL hinzufügen
$currentACL.AddAccessRule($fileSystemAccessRule)
# ACL auf Ordner anwenden
Set-Acl -Path $userSharePath -AclObject $currentACL
}
} else{
# Profilpfad existiert nicht
Write-Output "Profilpfad $userSharePath existiert nicht"
}
}
Hi
prinzipiell unterscheiet Windows bei der Zuordnung von Berechtigungen zwischen
"Kopieren" und "Verschieben"
Hab grad keine Zeit das genau zu recherchieren, aber aus der Erinnerung:
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
Bei unterschiedlichen Laufwerken genau umgekehrt
Diese Erkenntnis ist aber > 20 Jahre alt und vielleicht nicht mehr aktuell ...🤔
prinzipiell unterscheiet Windows bei der Zuordnung von Berechtigungen zwischen
"Kopieren" und "Verschieben"
Hab grad keine Zeit das genau zu recherchieren, aber aus der Erinnerung:
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
Bei unterschiedlichen Laufwerken genau umgekehrt
Diese Erkenntnis ist aber > 20 Jahre alt und vielleicht nicht mehr aktuell ...🤔
Zitat von @MirkoKR:
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
Ich glaube nicht, dass hier irgendwelche Ordner kopiert oder verschoben werden...
Moin,
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
Gruß,
Dani
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
das ist nach wie vor so. Dafür gibt's Registry Keys, mit dem du das Verhalten anpassen kannst.https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...
Gruß,
Dani
Zitat von @Starmanager:
Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?
Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?
Es geht hier um Profilordner (Ordnerumleitung)
Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.
Bei erlaubter Privatnutzung sieht die Sache anders aus.
(Was nicht heißt dass ich es sinnvoll finde. Was erwartet man sich davon?)
Bei erlaubter Privatnutzung sieht die Sache anders aus.
(Was nicht heißt dass ich es sinnvoll finde. Was erwartet man sich davon?)
Zitat von @3063370895:
Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.
Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.
Des Betriebes ja, aber nicht zwingend des Abteilungsleiter.
Angenommen der Mitarbeiter hat dort ein Dokument von der Personalabteilung abliegen ( zb wegen Stellenversetzung was nichts mit der Abteilung zu tun hat) so geht das dem Abteilungsleiter nichts an!!
Ich kann dir sagen das wir solche Fälle bereits hatten, auch mit Anwalt.
Würde ich das als Mitarbeiter mitbekommen, ohne das offiziell zu wissen, wäre ich auch ganz schnell beim Anwalt und Landesdatenschutzbeauftragten. Ihr begebt euch da auf dünnes Eis.
Bei erlaubter Privatnutzung sieht die Sache anders aus.
Rechtliche Grundlage? Siehe Fall oben.
rechtliche Grundlage für deine Gegenbehauptung? Keine "Fälle mit Anwalt", diese sind irrelevant. Was zählt sind Gerichtsurteile!
Die gibt es nur zu E-Mail und erlaubter /nicht erlaubter Privatnutzung. Und dort ist klar, keine Privatnutzung erlaubt = Zugriff rechtmäßig möglich.
aber
Diese Diskussion zu führen ist müßig und fehl am Platz, da wir die Umstände nicht kennen. Vielleicht gibt es Unterschriebene Verträge in denen die Mitarbeiter dem Verfahren zustimmen.
Das eigentliche Anliegen wurde beantwortet: Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?