Apr 06, 2023, updated at Apr 11, 2023 (UTC)

2365

Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?

Guten Abend.
Ein Kunde wünscht sich folgendes:

Jeder Teamleiter soll Lese und Schreibzugriff auf die Nutzerordner der Mitarbeiter in der Abteilung haben.
Grundsätzlich kein großes Problem, aber wie würde man vorgehen, das entsprechend zu automatisieren?

Die Nutzerordner werden mittels Ordnerumleitung zentral abgelegt.
Aber wie schaffe ich es, dass beim Wechsel eines Mitarbeiters nicht n eine andere Abteilung automatisch der Zugriff für den ehemaligen Abteilungsleiter verboten wird und für den neuen erlaubt wird?
Ich habe keine Lust, manuell immer an die Berechtigungen zu denken, wenn ein MA die Abteilung wechselt.

Ich stehe hier etwas auf dem Schlauch.
Danke für jeden Gedankenanstoß und schöne Ostern.

Please also mark the comments that contributed to the solution of the article

Content-Key: 6672247226

Url: https://administrator.de/contentid/6672247226

Printed on: April 27, 2024 at 09:04 o'clock

12 Comments

Latest comment

Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.

Zitat von @RamboJay:

Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.

Genau das habe ich gerade gemacht:
unbedingt testen! Ich habe bei mir ein paar Testordner für Benutzer angelegt und die Manager hin und hergewechselt, hat alles geklappt.
Kann man je nach AD-Größe und Dringlichkeit täglich/halbtäglich/stündlich etc. ausführen

Skript setzt voraus:

Das Manager-Attribut im AD wird verwendet um den Vorgesetzten festzulegen
AD-Modul für PS
Profilordner als Unterordner von $ProfilesShare mit sAMAccountName des Benutzers als Ordnername (\\Pfad\zu\Profilordner\sAMAccountName)
außer dem eigenen User und dem Manager sind keine weiteren Nutzer in den NTFS-Berechtigungen des Ordners eingetragen (abgesehen von vererbten Berechtigungen)

$ProfilesShare = '\\pfad\zu\Profilordner'  

$allUsers = Get-ADUser -Filter 'Enabled -eq $true' -Properties Manager  

foreach ($user in $allUsers) {
    $userSharePath = "$ProfilesShare\$($user.SamAccountName)"  

    if(Test-Path $userSharePath){
        $manager = Get-ADUser $user.Manager
        
        # aktuelle ACL abrufen
        $currentACL = Get-Acl $userSharePath

        # Fullaccess & nicht vererbt & nicht eigener User = Manager
        $currentShareManager = (($currentACL.Access | Where-Object -FilterScript {$_.FileSystemRights -eq "FullControl" -and $_.IsInherited -eq $False -and $_.IdentityReference -notmatch $user.SamAccountName}).IdentityReference.Value -split "\\")[-1]  

        if($currentShareManager -ne $manager.SamAccountName){
            # In der ACL vom Share eingetragener FullAccess ist nicht der Manager
            
            # AccessRule vorbereiten
            $fileSystemRights = "FullControl"  
            $type = "Allow"  
            $inheritance = 'ContainerInherit, ObjectInherit'  
            $propagation = 'None'  

            if($currentShareManager){
                # Aktuellen Manager in der ACL entfernen

                # Zu entfernende AccessRule zusammenschustern
                $identity = $currentShareManager
                $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
                $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
        
                # AccessRule entfernen
                $currentACL.RemoveAccessRule($fileSystemAccessRule)
            }

            # Neue AccessRule zusammenschustern
            $identity = $manager.SamAccountName
            $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
            $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

            # AccessRule der aktuellen ACL hinzufügen
            $currentACL.AddAccessRule($fileSystemAccessRule)
        
            # ACL auf Ordner anwenden
            Set-Acl -Path $userSharePath -AclObject $currentACL
        }
    } else{
        # Profilpfad existiert nicht

        Write-Output "Profilpfad $userSharePath existiert nicht"  
    }
}

Hi

prinzipiell unterscheiet Windows bei der Zuordnung von Berechtigungen zwischen

"Kopieren" und "Verschieben"

Hab grad keine Zeit das genau zu recherchieren, aber aus der Erinnerung:

"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..

Bei unterschiedlichen Laufwerken genau umgekehrt

Diese Erkenntnis ist aber > 20 Jahre alt und vielleicht nicht mehr aktuell ...🤔

Zitat von @MirkoKR:
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..

Ich glaube nicht, dass hier irgendwelche Ordner kopiert oder verschoben werden...

Moin,

"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..

das ist nach wie vor so. Dafür gibt's Registry Keys, mit dem du das Verhalten anpassen kannst.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...

Gruß,
Dani

Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?

Zitat von @Starmanager:

Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?

Es geht hier um Profilordner (Ordnerumleitung)

Der Abteilungsleiter soll Zugriff auf die persönlichen Profilordner bekommen?

Rechtlich äußertet fraglich und bei uns aus rechtlichen Gründen ohne schriftliche Zustimmung durch den MA nicht erlaubt. Aus Betriebsratsicht schon gar nicht.

Oder meinst du andere Ordner ?

Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.

Bei erlaubter Privatnutzung sieht die Sache anders aus.

(Was nicht heißt dass ich es sinnvoll finde. Was erwartet man sich davon?)

Zitat von @3063370895:

Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.

Des Betriebes ja, aber nicht zwingend des Abteilungsleiter.

Angenommen der Mitarbeiter hat dort ein Dokument von der Personalabteilung abliegen ( zb wegen Stellenversetzung was nichts mit der Abteilung zu tun hat) so geht das dem Abteilungsleiter nichts an!!

Ich kann dir sagen das wir solche Fälle bereits hatten, auch mit Anwalt.

Würde ich das als Mitarbeiter mitbekommen, ohne das offiziell zu wissen, wäre ich auch ganz schnell beim Anwalt und Landesdatenschutzbeauftragten. Ihr begebt euch da auf dünnes Eis.

Bei erlaubter Privatnutzung sieht die Sache anders aus.

Rechtliche Grundlage? Siehe Fall oben.

Zitat von @tech-flare:
Rechtliche Grundlage? Siehe Fall oben.

rechtliche Grundlage für deine Gegenbehauptung? Keine "Fälle mit Anwalt", diese sind irrelevant. Was zählt sind Gerichtsurteile!
Die gibt es nur zu E-Mail und erlaubter /nicht erlaubter Privatnutzung. Und dort ist klar, keine Privatnutzung erlaubt = Zugriff rechtmäßig möglich.

aber

Diese Diskussion zu führen ist müßig und fehl am Platz, da wir die Umstände nicht kennen. Vielleicht gibt es Unterschriebene Verträge in denen die Mitarbeiter dem Verfahren zustimmen.

Das eigentliche Anliegen wurde beantwortet: Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?

Guten Morgen und vielen Dank für die zahlreichen Kommentare. Danke für das Skript. Das schau ich mir an, wobei ich wohl doch noch einmal im Vorfeld auf unseren Kunde zugehen werde und ihm die Datenschutzbedenken äußere.
Mal sehen, vielleicht kriege ich ihn umgestimmt. Es geht wirklich um Profilordner ohne irgendeiner schriftlichen Zustimmung der MA.
Schöne Ostern.

German Question Windows Server