joh316
Goto Top

Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?

Guten Abend.
Ein Kunde wünscht sich folgendes:

Jeder Teamleiter soll Lese und Schreibzugriff auf die Nutzerordner der Mitarbeiter in der Abteilung haben.
Grundsätzlich kein großes Problem, aber wie würde man vorgehen, das entsprechend zu automatisieren?

Die Nutzerordner werden mittels Ordnerumleitung zentral abgelegt.
Aber wie schaffe ich es, dass beim Wechsel eines Mitarbeiters nicht n eine andere Abteilung automatisch der Zugriff für den ehemaligen Abteilungsleiter verboten wird und für den neuen erlaubt wird?
Ich habe keine Lust, manuell immer an die Berechtigungen zu denken, wenn ein MA die Abteilung wechselt.

Ich stehe hier etwas auf dem Schlauch.
Danke für jeden Gedankenanstoß und schöne Ostern.

Content-ID: 6672247226

Url: https://administrator.de/forum/zugriff-fuer-abteilungsleiter-auf-mitarbeiter-nutzerordner-automatisieren-6672247226.html

Ausgedruckt am: 27.12.2024 um 11:12 Uhr

RamboJay
RamboJay 06.04.2023 um 20:55:05 Uhr
Goto Top
Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.
3063370895
3063370895 06.04.2023 aktualisiert um 21:38:29 Uhr
Goto Top
Zitat von @RamboJay:

Ich würde ein PowerShell Skript schreiben, dass regelmäßig als Aufgabe ausgeführt wird und nach einer Änderung des Vorgesetzten schaut. Sobald eine Änderung erkannt wird, setzt es dies in der Ntfs Berechtigung um.

Genau das habe ich gerade gemacht:
unbedingt testen! Ich habe bei mir ein paar Testordner für Benutzer angelegt und die Manager hin und hergewechselt, hat alles geklappt.
Kann man je nach AD-Größe und Dringlichkeit täglich/halbtäglich/stündlich etc. ausführen

Skript setzt voraus:
  • Das Manager-Attribut im AD wird verwendet um den Vorgesetzten festzulegen
  • AD-Modul für PS
  • Profilordner als Unterordner von $ProfilesShare mit sAMAccountName des Benutzers als Ordnername (\\Pfad\zu\Profilordner\sAMAccountName)
  • außer dem eigenen User und dem Manager sind keine weiteren Nutzer in den NTFS-Berechtigungen des Ordners eingetragen (abgesehen von vererbten Berechtigungen)

$ProfilesShare = '\\pfad\zu\Profilordner'  

$allUsers = Get-ADUser -Filter 'Enabled -eq $true' -Properties Manager  

foreach ($user in $allUsers) {
    $userSharePath = "$ProfilesShare\$($user.SamAccountName)"  

    if(Test-Path $userSharePath){
        $manager = Get-ADUser $user.Manager
        
        # aktuelle ACL abrufen
        $currentACL = Get-Acl $userSharePath

        # Fullaccess & nicht vererbt & nicht eigener User = Manager
        $currentShareManager = (($currentACL.Access | Where-Object -FilterScript {$_.FileSystemRights -eq "FullControl" -and $_.IsInherited -eq $False -and $_.IdentityReference -notmatch $user.SamAccountName}).IdentityReference.Value -split "\\")[-1]  

        if($currentShareManager -ne $manager.SamAccountName){
            # In der ACL vom Share eingetragener FullAccess ist nicht der Manager
            
            # AccessRule vorbereiten
            $fileSystemRights = "FullControl"  
            $type = "Allow"  
            $inheritance = 'ContainerInherit, ObjectInherit'  
            $propagation = 'None'  

            if($currentShareManager){
                # Aktuellen Manager in der ACL entfernen

                # Zu entfernende AccessRule zusammenschustern
                $identity = $currentShareManager
                $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
                $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList
        
                # AccessRule entfernen
                $currentACL.RemoveAccessRule($fileSystemAccessRule)
            }

            # Neue AccessRule zusammenschustern
            $identity = $manager.SamAccountName
            $fileSystemAccessRuleArgumentList = $identity, $fileSystemRights, $inheritance, $propagation, $type
            $fileSystemAccessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $fileSystemAccessRuleArgumentList

            # AccessRule der aktuellen ACL hinzufügen
            $currentACL.AddAccessRule($fileSystemAccessRule)
        
            # ACL auf Ordner anwenden
            Set-Acl -Path $userSharePath -AclObject $currentACL
        }
    } else{
        # Profilpfad existiert nicht

        Write-Output "Profilpfad $userSharePath existiert nicht"  
    }
}
MirkoKR
MirkoKR 06.04.2023 um 22:46:41 Uhr
Goto Top
Hi

prinzipiell unterscheiet Windows bei der Zuordnung von Berechtigungen zwischen

"Kopieren" und "Verschieben"

Hab grad keine Zeit das genau zu recherchieren, aber aus der Erinnerung:

"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..

Bei unterschiedlichen Laufwerken genau umgekehrt

Diese Erkenntnis ist aber > 20 Jahre alt und vielleicht nicht mehr aktuell ...🤔
3063370895
3063370895 06.04.2023 um 22:50:11 Uhr
Goto Top
Zitat von @MirkoKR:
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..

Ich glaube nicht, dass hier irgendwelche Ordner kopiert oder verschoben werden...
Dani
Dani 06.04.2023 aktualisiert um 23:44:35 Uhr
Goto Top
Moin,
"Verschieben" auf demselben Laufwerk behält die Rechte bei, "Kopieren" auf demselben erstellt neue Rechte des übergeordneten Ordners ..
das ist nach wie vor so. Dafür gibt's Registry Keys, mit dem du das Verhalten anpassen kannst.
https://learn.microsoft.com/en-us/troubleshoot/windows-client/windows-se ...


Gruß,
Dani
Starmanager
Starmanager 07.04.2023 um 00:59:53 Uhr
Goto Top
Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?
3063370895
3063370895 07.04.2023 um 06:49:06 Uhr
Goto Top
Zitat von @Starmanager:

Das ist ja echter Murx. Warum arbeiten die Mitarbeiter nicht mit Freigaben die der Abtelungsleiter vorgibt? Wie sieht es da mit der Kontrolle der Mitarbeiter aus?

Es geht hier um Profilordner (Ordnerumleitung)
tech-flare
tech-flare 07.04.2023 aktualisiert um 09:38:24 Uhr
Goto Top
Der Abteilungsleiter soll Zugriff auf die persönlichen Profilordner bekommen?

Rechtlich äußertet fraglich und bei uns aus rechtlichen Gründen ohne schriftliche Zustimmung durch den MA nicht erlaubt. Aus Betriebsratsicht schon gar nicht.

Oder meinst du andere Ordner ?
3063370895
3063370895 07.04.2023 aktualisiert um 09:46:24 Uhr
Goto Top
Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.

Bei erlaubter Privatnutzung sieht die Sache anders aus.

(Was nicht heißt dass ich es sinnvoll finde. Was erwartet man sich davon?)
tech-flare
tech-flare 07.04.2023 um 09:56:06 Uhr
Goto Top
Zitat von @3063370895:

Wenn eine private Nutzung der Endgeräte nicht gestattet ist, sehe ich Datenschutzrechtlich kein Problem. Schließlich sind alle Daten, die ich bei der Arbeit erstelle, Eigentum des Betriebes.

Des Betriebes ja, aber nicht zwingend des Abteilungsleiter.

Angenommen der Mitarbeiter hat dort ein Dokument von der Personalabteilung abliegen ( zb wegen Stellenversetzung was nichts mit der Abteilung zu tun hat) so geht das dem Abteilungsleiter nichts an!!

Ich kann dir sagen das wir solche Fälle bereits hatten, auch mit Anwalt.


Würde ich das als Mitarbeiter mitbekommen, ohne das offiziell zu wissen, wäre ich auch ganz schnell beim Anwalt und Landesdatenschutzbeauftragten. Ihr begebt euch da auf dünnes Eis.

Bei erlaubter Privatnutzung sieht die Sache anders aus.

Rechtliche Grundlage? Siehe Fall oben.
3063370895
3063370895 07.04.2023 aktualisiert um 10:05:46 Uhr
Goto Top
Zitat von @tech-flare:
Rechtliche Grundlage? Siehe Fall oben.

rechtliche Grundlage für deine Gegenbehauptung? Keine "Fälle mit Anwalt", diese sind irrelevant. Was zählt sind Gerichtsurteile!
Die gibt es nur zu E-Mail und erlaubter /nicht erlaubter Privatnutzung. Und dort ist klar, keine Privatnutzung erlaubt = Zugriff rechtmäßig möglich.

aber

Diese Diskussion zu führen ist müßig und fehl am Platz, da wir die Umstände nicht kennen. Vielleicht gibt es Unterschriebene Verträge in denen die Mitarbeiter dem Verfahren zustimmen.

Das eigentliche Anliegen wurde beantwortet: Zugriff für Abteilungsleiter auf Mitarbeiter Nutzerordner automatisieren?
joh316
joh316 09.04.2023 um 06:23:29 Uhr
Goto Top
Guten Morgen und vielen Dank für die zahlreichen Kommentare. Danke für das Skript. Das schau ich mir an, wobei ich wohl doch noch einmal im Vorfeld auf unseren Kunde zugehen werde und ihm die Datenschutzbedenken äußere.
Mal sehen, vielleicht kriege ich ihn umgestimmt. Es geht wirklich um Profilordner ohne irgendeiner schriftlichen Zustimmung der MA.
Schöne Ostern.