imebro

...ich denke wir sind hier jetzt ziemlich "OFF TOPIC" Ich danke Euch Allen nochmal für die Hilfe und falls es bei der Umsetzung Probleme geben sollte, würde ich mich hier nochmal melden. Viele Grüße, imebro

...ja das stimmt. Dennoch konnte ich nicht verhindern, dass man mir den "Schwarzen Peter" --> IT <-- aufgebrummt hat Grüße, imebro

...aber dann leider viel zu oft auch mit einer Entlassung quittiert... oder jedenfalls mit entsprechender Schikane :-( Ich kenne das, denn ich bin hier auch seit mehr als 25 Jahren der Betriebsrat Grüße, imebro

@Damian Danke für die abschließende Info. Ich verstehe, was Du schreibst und ich sehe es genauso, dass es problematisch ist, Jemanden gerade bei IT "ins kalte Wasser zu werfen". Aber ich kann es nicht ändern und diese Bemerkung sollte eher mal unser Vorstand lesen Wie gesagt, werde ich es jetzt austesten aus allen erdenklichen Winkeln und dann die neue Verzeichnisstruktur erstellen. Dann melde ich mich gerne nochmal. Nochmal danke für die gute Unterstützung hier im Forum!! Grüße, imebro

OK, ich gebe jetzt auf Ist nicht böse gemeint, aber ich werde es jetzt einfach so für die neue Struktur nutzen, wie ich es jetzt getestet habe. Danke für Eure Hilfe. Grüße, imebro

Naja... wie soll ich etwas testen, von dem ich nicht weiß, ob es überhaupt nötig ist? Ich könnte natürlich jetzt noch weitere Gruppen hinzufügen (z.B. "Authentifizierte Benutzer", die Standardgruppe "Benutzer" etc.), aber ob das sein MUSS, weiß ich dann auch noch nicht. Ich nehme an, dass alles auch funktionieren würde, wenn ich diese Gruppen hinzufüge. Aber ich kann natürlich nicht wissen, ob im Hintergrund irgend etwas nur dann funktioniert, wenn ich z.B. auch den Eintrag "SYSTEM" eingefügt habe. Das kann ich so ja auch nicht wirklich testen. Gibt es denn Gruppen od. Einträge, die in einer Verzeichnis-Struktur in den Eigenschaften / Sicherheit eingetragen werden müssen? Ich weiß nicht, wie ich es sonst ausdrücken soll Grüße, imebro

@magheinz Die Verzeichnisse, die ich nun als ein "normaler" MA erstellt habe, erhalten automatisch die gleichen Berechtigungen. Also "Lesen, Ausführen und Ordnerinhalt anzeigen", da in den Eigenschaften eben auch die entspr. MA-Gruppe eingetragen ist sowie die Admin-Gruppe. Das funktioniert offenbar auch so, wie es sein soll. @NilsK Vielleicht habe ich mich im letzten Post schlecht ausgedrückt... Ich meinte, ob ggf. noch ZUSÄTZLICHE Gruppen aufgenommen werden MÜSSEN in meine Test-Struktur? Das hatten wir vorher noch nicht angesprochen.... Grüße, imebro

Hallo nochmal... Ich habe mich soeben als ein MA an einem anderen Rechner angemeldet und von dort aus das Test-Verzeichnis aufgerufen. Unterhalb der 3. Ebene konnte ich Verzeichnisse erstellen und auch unterschiedliche Dateien (.jpg, .pdf) einkopieren. Ebenso konnte ich eine Textdatei erstellen. Das ist also so, wie es auch geplant war!! Innerhalb der Ebenen darüber, ging all das nicht. Auch konnte ich dort keine Verzeichnisse verschieben oder löschen. Am Ende ist hier alles genauso, wie es sein soll und wie ich es mir vorgestellt habe. Wie oben beschrieben, habe ich lediglich eine schon bestehende MA-Gruppe eingefügt, der ich das Recht "Lesen, Ausführen und Ordnerinhalt anzeigen" erteilt habe und die Gruppe Administrator, die Vollzugriff hat. Wenn es also damit getan ist, dann ist es überhaupt kein Aufwand, die neue Struktur so hinzubekommen, wie es sein soll. Ich müßte dann in der späteren originalen neuen Struktur eben nur die Vererbung genau so machen, wie in der Struktur des Test-Verzeichnisses. Die einzige Frage, die nun noch übrig bleibt, ist die Frage nach zusätzlichen Gruppen, die ich ggf. benötigen könnte. Gibt es aus Eurer Sicht also noch weitere Gruppen, die ich in diese Test-Struktur einfügen sollte oder muss? * ich denke hier z.B. an "Authentifizierte Benutzer", die Standardgruppe "Benutzer" oder sonstige Gruppen Und... was müßte ich sonst noch beachten, woran ich hier nicht gedacht habe? Grüße, imebro

@Damian Zunächst vielen Dank für Deinen Post. Ich sehe das im Grunde auch so. Das Problem, welches ich habe ist, dass ich natürlich die Argumente hier grundsätzlich auch nachvollziehen kann. Aber ich habe eben entsprechende Anweisungen, das so umzusetzen, wie Vorstand und GF es wollen. Daher KANN ich es nicht anders machen und auch ein DMS soll hier nicht eingeführt werden. @ALL: Ich bin schon einen Schritt weiter. Gestern habe ich im ROOT ein Test-Verzeichnis erstellt mit entsprechenden Unterverzeichnissen in 3 Ebenen. Im ROOT selbst habe ich dann dem Admin Vollzugriff erteilt und der bisherigen MA-Gruppe das Recht "Lesen, Ausführen und Ordnerinhalt anzeigen". Vorab hatte ich die Vererbung deaktiviert, im nächsten Fenster die 2. Option (Link) gewählt und dann die Admin- u. MA-Gruppe über "Prinzipal auswählen" hinzugefügt. Nun sind nur diese beiden Gruppen sichtbar und nicht mehr all die, die vorher dort zu sehen waren. In diesem ROOT habe ich dann die Vererbung auch NICHT mehr aktiviert. In den 3 Ebenen darunter ist jedoch die Vererbung aktiv und man sieht dort auch in den Eigenschaften "Geerbt von ROOT". Gleich werde ich mal an einem anderen Rechner mit einer Anmeldung eines MA testen, ob ich dann in den ersten 3 Ebenen tatsächlich keine Verzeichnisse erstellen oder dort Dateien ablegen kann. Falls das so ist, wäre es genau so, wie ich es wollte. Frage zu den Gruppen: Ich würde dann für die neue Struktur auch ggf. 2 neue Gruppen anlegen wollen, falls das nötig ist. Eine Admin-Gruppe und eine MA-Gruppe. Meine Frage dazu ist, wo in der AD ich diese Gruppen anlegen soll? Wir haben in der AD - also direkt unter unserer Domaine "xxxxx.local" ein Verzeichnis mit dem Namen unserer Stiftung. In diesem Verzeichnis befinden sich mehrere Unterverzeichnisse für die einzelnen Abteilungen und darin dann die einzelnen MA der jeweiligen Abteilung. Weiterhin gibt es unterhalb der Domaine "xxxxx.local" ein Verzeichnis "USERS". Darin finden sich massenhaft Gruppen, die über viele Jahre erstellt worden sind und deren Sinn ich z.T. nicht ergründen kann... Kann ich für die beiden neuen Gruppen einfach direkt ein neues Unterverzeichnis unter der Domaine "xxxxxx.local" erstellen oder muss ich das "USERS"-Verzeichnis für die Gruppen nutzen? Ist also ggf. dieses "USERS"-Verzeichnis ein vorgegebenes Verzeichnis für Gruppen? Das wären die noch offenen Fragen. Danke Euch... Grüße, imebro

...wir hatten eben eine Besprechung mit dem kompletten Team und GF. Dabei haben sich alle für die abgesprochene Vorgehensweise ausgesprochen. Ich habe allerdings auch ein paar Bedenken geäußert und auch mal über DMS gesprochen. Wie erwartet, war bei DMS gleich eine ablehnende Haltung der GF zu hören und mit genau den Begründungen, die ich hier auch schon aufgeführt hatte Klar... wir werden sehen, wie es in 12 Monaten aussieht. Aber ich bin auf jeden Fall sicher, dass es besser aussieht, als jetzt, wo wir ein totales Verzeichnis-Chaos haben!! Eben kam übrigens noch die Frage, ob es überhaupt nötig sei, in den ersten 2 Ebenen auch Nummern vor die Verzeichnisse zu setzen, da man ja eh immer nur 7 Verzeichnisse sehe. Und so wenige Verzeichnisse könne man ja gut mit einem Blick überschauen. Daher wäre dann eine automatische alphabetische Sortierung auch kein Problem und man könne NOTFALLS (durch den Admin nach Vorgabe der GF) auch mal ein Verzeichnis hinzufügen, welches eben dann nicht ganz unten stehen muss, sondern sich alphabetisch eingliedert. Das Argument konnte ich jetzt auf Anhieb nicht entkräften Jetzt wird erst mal die neue Struktur dem Vorstand vorgestellt und erst wenn diese steht, werde ich sie automatisiert umsetzen (über eine Excel-Liste --> Verkettung --> Excel-Script). Grüße, imebro

@Squire Danke für Deine Einschätzung und Ratschläge. Ich werde das nochmal an die GF weitergeben, obwohl dieser Brei schon zig-fach durchgekaut wurde Weiter oben wird aber ebenso schon von Fachleuten hier aus dem Forum beschrieben, dass sich ein DMS (oder nur das "Storage-Share"?) nicht so gut eignet. Hier denke ich auch, dass eine erhebliche Einarbeitungszeit nötig wäre, was hier kaum umsetzbar sein dürfte, nachdem die Belegschaft um mittlerweile rund 50% verkleinert wurde und Jede/r MA mehr zu tun hat, als noch gut ist... Es muss am Ende einfach auch FÜR UNS!! praktikabel sein und da ist vielleicht dann einfach eine neue Verzeichnis-Struktur besser, die nicht mehr so chaotisch ist und die auch unsere Abläufe etc. gut wiedergibt, wodurch sich Jede/r MA auch zurechtfinden dürfte. Daher hat mein/unser Plan schon auch eine Berechtigung. Ich denke eher nicht, dass man hier auf ein DMS wechseln wollen wird. Ich kenne den Laden schon seit mehr als 25 Jahren Mein Plan, wie ich es umsetzen möchte, steht ja bereits. Daher wäre ich noch froh, wenn man meine letzte Frage (siehe voriger Post) nochmal kurz beantworten könnte. Danke und Grüße, imebro

@magheinz ...ganz einfach. Der Hauptgrund für die neue Struktur ist, dass sich in rund 25 Jahren eine Struktur aufgebaut hat, durch die Niemand mehr durchblickt. Gerade vor dem Hintergrund, dass einige ältere MA nicht mehr da sind und die neuen MA die Struktur überhaupt nicht kennen. Diese Struktur ist im Grunde ein totales Chaos... eben WEIL jeder MA tun und lassen konnte, was sie/er will. Das wollen wir zukünftig dadurch einschränken, dass wir die ersten 3 Ebenen entspr. durch Berechtigungsvergabe einschränken. @NilsK Danke für die weiteren Erläuterungen. Bei uns gibt es tatsächlich auf dem Server das Verzeichnis "D:\Daten". Dieses ist bei uns als Laufwerk "S" freigegeben. Dort soll unsere Struktur dann auch mit der 1. Ebene starten... also "S:\Ordner1" bis "S:\Ordner7". Diese "Datei-Admin-Gruppe"... soll das eine Domainlokale Gruppe (mit Vollzugriffsrechten) sein? Und... wie vererbe ich eine solche Gruppe nach unten weiter? Genau da hakt es noch bei mir im Verständnis Ansonsten kommen ich - denke ich - mittlerweile ganz gut klar. Grüße, imebro

Ich habe eben mal recherchiert und auch eine Seite gefunden, die bestätigt, dass Share Point eher nicht geeignet ist als DMS. Share Point ist kein DMS Es ist nicht so, dass wir kein Geld für ext. Beratung ausgeben WOLLEN... wir können es einfach nicht aufgrund unserer Finanzlage. Das ist ein großer Unterschied. Wie ich oben ja schon beschrieben habe, benötigen wir die von uns gemeinsam erstellte Verzeichnisstruktur, denn diese bildet all unsere Ablageprozesse ab. Ich denke, ich werde die Berechtigungen über Domainlokale Gruppen in Verbindung mit lokalen Gruppen setzen, wie weiter oben beschrieben. Bezüglich "Vererbung" habe ich bisher noch keine gute Beschreibung gefunden, die ich soweit verstehen würde, dass ich sie umsetzen könnte. Es wurde lediglich mal beschrieben, dass man im ROOT am besten allen MA "Vollzugriff" geben und das nach weiter unten dann entsprechend über die Berechtigungen einschränken soll. Woanders wiederum stand, am besten allen Mitgliedern einer Gruppe Leserechte auf einen übergeordneten Ordner zu erteilen und dann einzelnen Untergruppen zusätzliche Schreibrechte auf bestimmte Unterordner zu gewähren.... Wie Ihr seht, verwirrt das Alles mich noch Grüße, imebro

@daabm Es handelt sich bei dieser Vielzahl von Verzeichnissen nicht um Ordner für die MA, sondern um solche, die unsere Arbeitsstruktur wiedergeben. Wir machen u.a. Eventmanagement, geben Hilfen an Bedürftige und wir machen Fundraising. Dadurch ergibt sich eine so große Struktur. Aber ich habe ja in meiner Beschreibung auch angegeben, dass die jeweiligen Verzeichnisse BIS ZU 7 Unterverzeichnisse haben können. In manchen Fällen sind es auch nur 3. Diese Verzeichnisstruktur haben wir gemeinsam entwickelt und das ist die Struktur, in die wir zukünftig Daten ablegen wollen, damit wir sie auch gut wiederfinden. @magheinz Das mit dem DMS wurde schon mal vorgeschlagen und das ist sicher eine gute Idee. Es scheitert jedoch bei uns leider an den Kosten. Wir hatten vor einigen Jahren schon mal Angebote der üblichen Verdächtigen "DocuWare", "ecoDMS", und weitere... eingeholt und waren schockiert über die Kosten. Das können wir uns als kleine Stiftung leider nicht leisten, wobei seit mehreren Jahren hier sogar ein Stellenabbau stattfindet aufgrund der Finanzlage. Aber weiter zu dem Thema bei @ALL. @ALL: Bezüglich DMS habe ich eben mal schnell in Google nachgtesehen. Da sprang mir "Microsoft 365 Share Point" ins Auge. Dazu muss ich sagen, dass wir hier bereits ein Abo haben für "MS 365", wo das "Share Point" ggf. integriert ist (muss ich aber noch checken). Das wäre dann natürlich eine kostenlose Lösung (wenn es im Abo integriert ist). Ich kenne "Share Point" jedoch nicht und weiß daher auch nicht, ob das eine Alternative sein könnte zu einer neuen Verzeichnis-Struktur. Ich kann mir im Moment noch nicht so ganz vorstellen, was man mit "Share Point" überhaupt machen kann. Vielleicht kann das ja mal jemand von Euch kurz erklären und ob das ggf. auch eine Lösung für uns sein könnte. Danke und Grüße, imebro

Hallo und danke nochmals... Was meinst Du mit "die Vererbung manipuliert"? Ich habe mir jetzt das SetACL-Studio mal heruntergeladen und werde es morgen mal testweise installieren (bin heute im HO). Bin gespannt, was dieses Tool kann und wie ich es nutzen kann. Grüße, imebro

Hallo und nochmal danke für die weiteren interessanten Infos. Sorry, ich hatte vergessen zu erwähnen, dass wir nur eine Domäne haben. Bezüglich der anderen Anmerkungen und Fragen möchte ich nochmal daran erinnern, dass wir uns ja für das "7-Ordner-Prinzip" entschieden haben. Ich erkläre nochmal kurz, wie das Ganze aussehen soll: In der neuen Verzeichnisstruktur wird es im ROOT schon mal 7 Hauptordner geben (Ebene 1). Jeder dieser 7 Ordner hat dann nochmal bis zu 7 Unterverzeichnisse (das ist dann Ebene 2). Und jedes dieser 7 Unterverzeichnisse hat dann wiederum bis zu 7 Unterverzeichnisse (das ist dann Ebene 3). Erst innerhalb dieser bis zu 7 Unterverzeichnisse der Ebene 3 sollen MA selbst Ordner erstellen können und auch Dateien in Ordnern ablegen können. In den ersten 3 Ebenen soll folgendes gelten: - Admin hat Vollzugriff - Chefin und 2 Abt.Leiter sollen Ordner und Dateien hinzufügen können (jedoch bei den Abt.Leitern auch hier nach Absprache mit Chefin und Admin). Hier wäre dann wohl das "Ändern"-Recht richtig... oder? - Innerhalb der 7 Verzeichnisse der 3. Ebene dürfen MA auch Verzeichnisse anlegen, löschen und Dateien einfügen und löschen etc. Offenbar wäre dann ab dieser Ebene auch hier das "Ändern"-Recht das Richtige (??). Diese MA dürfen aber dann für die 2 oberen Ebenen nur "Ordner auflisten" und "Lesen" Rechte haben. Ich hoffe, das läßt sich so machen... Es ist bei diesem System sehr wichtig, dass die ersten 3 Ebenen nicht verändert werden, da es ein vorher ermitteltes und abgesprochenes System gibt. Nur so kann man vermeiden, dass schon nach spätestens einem halben Jahr wieder ein Verzeichnis-Chaos herrscht, wie wir es z.B. in unserer jetzigen Struktur haben, wo jeder MA alles durfte (außer Vollzugriff). Ob ich das Ganze nun mit Domainlokalen-Ordnern UND Globalen Ordnern umsetze ODER z.B. nur mit einer der beiden Arten, ist noch offen. Gestern habe ich jedenfalls Folgendes gelernt: Berechtigungen in Active Directory am besten in der Domäne auf Basis von domänenlokalen Gruppen setzen. Dadurch ist sichergestellt, dass die Berechtigungsstruktur, zum Beispiel bei Freigaben, nicht jedes Mal geändert werden muss, wenn ein neuer Benutzer Zugriff erhalten soll. Die Benutzer (MA) in der Domäne sind Mitglied in den globalen Gruppen der Domäne, die Berechtigung über die oben erwähnte domänenlokale Gruppe erhalten. Wenn Benutzer in dieser Struktur Zugriff auf eine Freigabe erhalten sollen, reicht es aus diese in die jeweilige globale Gruppe aufzunehmen, die wiederum Mitglied der domainenlokalen Gruppe ist, mit der die Berechtigungen gesetzt sind. Ich hoffe, ich habe es jetzt so beschrieben, dass man es verstehen kann... sorry wenn das bisher nicht so war. Danke und Grüße, imebro

Vielen Dank Dir @NilsK OK, den Artikel von "Migraven" werde ich dann ignorieren Deine Erklärung und vor allem das Beispiel haben es mir schon sehr gut verständlich erklärt. Ich denke, ich habe das Grundprinzip nun verstanden... Mit dem IT-Dienstleister war auch mein Vorschlag vor längerer Zeit. Leider fehlt uns offenbar das Geld dazu (ja, klingt bescheuert und so denken wir Alle hier). Wenn Du (oder sonst Jemand) mir jetzt noch kurz erklären kann, wie ich das mit der Vererbung realisieren soll bei einem ROOT mit 3 Verzeichnisebenen darunter, dann wäre ich sehr froh Denn da habe ich noch nicht verstanden, von wo aus ich da überhaupt die Vererbung aktivieren soll. Vom ROOT nach unten (mit welchen Rechten dann?) und wie dann weiter in die 3 nächsten Ebenen? Danke & Grüße, imebro

OK und danke für die weiteren Tipps. Ich habe jetzt die Inhalte aller Links durchgearbeitet und bin schon ein wenig schlauer. Ich möchte aber nochmal betonen, dass ich KEIN glernter Admin bin... das aber nun dennoch umsetzen muss. Der Admin wurde vor rund einem Jahr gekündigt und bis dahin hatte ich kaum mal was mit den Servern zu tun... bin also hier recht unbedarft Deshalb brauche ich vielleicht etwas mehr Hilfe, als es normalerweise der Fall wäre. Nachdem ich eben viel über "Globale Gruppen" und "Domain-Lokale Gruppen" etc. gelesen und das Grundprinzip schon ein wenig besser verstanden habe, habe ich mir eben mal die jetzige AD angeschaut. Mir ist noch nicht klar, ob ich in unserem Fall (16 MA) nun besser "Globale Gruppen" nutzen soll oder "Domain-Lokale" Gruppen. In unserer AD sind massenhaft!! Gruppen vorhanden. U.a. auch solche mit z.B. dem Namen "Mitarbeiter", wo alle MA drin stehen und wo wiederum Berechtigungen gesetzt sind für weitere Gruppen UND MA. Ich würde sagen, dass es ein ziemliches Durcheinander ist, was mehrere Generationen von Admins in den letzten 25 Jahren dort veranstaltet haben... Nochmal kurz zu meinem Eingangspost und der Bemerkung von @daabm: Ich meinte tatsächlich das "AGGP-Prinzip". Darüber hatte ich gelesen, dass dieses für kleine Unternehmen besser geeignet wäre... also solche unter 50 MA. Hier steht was dazu (ab Nr. 5): zum AGGP-Prinzip Wenn ich die grundlegenden Dinge mal komplett verstanden habe, kann ich das sicher auch umsetzen. Jetzt bin ich zwar ein gutes Stück weiter mit Eurer Hilfe, aber ein paar Dinge fehlen halt noch Grüße, imebro

Hallo und danke für Eure Tipps... All diese Gedanken haben wir uns schon in den letzten Wochen gemacht. Die komplette Verzeichnisstruktur steht bereits (bisher nur auf dem Papier) bis in die 3. Ebene hinein. Und... wir sind zwar nur eine kleine Stiftung mit knapp 15 MA, aber wir haben eine sehr umfangreiche Struktur. In den Verzeichnissen werden alle möglichen Arten von Dateien abgelegt... vom Office-Dokument über PDFs, Bilddateien, bis hin zu Videos. Auch haben wir schon die nötigen Zugriffe geregelt. Auf die ersten 3 Ebenen sollen nur der Admin und 2-3 weitere Personen Zugriff haben. Das sind die Abteilungsleiter*innen und die Chefin. Die 2-3 Personen sollen am Ende die Berechtigung "Ändern" bekommen, damit sie Verzeichnisse anlegen können, aber keinen Vollzugriff. Die restlichen MA sollen als grundsätzliches Recht im kompletten Verzeichnisbaum (also ab ROOT) die Berechtigung "Ordnerinhalt Anzeigen" bekommen und dann in den 3 Ebenen zusätzlich noch "Lesen, Ausführen" und "Schreiben". Sie sollen keine Verzeichnisse erstellen können und auch keine Dateien in der obersten Region der 3 Ebenen abspeichern können. Das wäre mal so grob das, was ich gerne umsetzen würde. Hierzu würde ich nun gerne noch wissen, wie ich da am besten vorgehe. - Also in der AD des Servers neue (globale) Grupen erstellen, die die entspr. Rechte haben (od. ggf. schon vorhandene Gruppen nutzen und anpassen)? - Und ggf. auch "G/U" Gruppen (USER_Finanzen, USER_Verwaltung...). Und... wie mache ich das mit der Vererbung? Danke und Grüße, imebro

Liebe User, wir sind nur eine kleine Organisation mit unter 15 MA! Ich habe schon immer gerne den Kolleg*innen bei EDV-Problemen etwas geholfen. Aber vor etwa einem Jahr wurde ich quasi von der GF "ins kalte Wasser" geworfen und betreue jetzt so ein bisschen unsere IT, nachdem unser Admin gekündigt wurde. Eigentlich habe ich hier eine ganz andere Aufgabe und jetzt soll es eine neue Verzeichnisstruktur geben. Die Struktur steht bereits und wir haben uns für das "7 Ordner Prinzip" entschieden, wobei es 3 Ebenen gibt mit jeweils 7 Unterordnern. Nun müssen diese Ordner ja auch entsprechende Berechtigungen erhalten. Vor allem wollen wir, dass in den ersten 3 Ebenen nur 3 Personen neue Verzeichnisse anlegen oder Dateien abspeichern können. Erst in den 7 Unterordnern der 3. Ebene sollen alle MA auch bestimmte (mehr) Berechtigungen erhalten. Ich habe schon viel dazu gelesen und würde nun gerne wissen, ob mein Ansatz OK ist: - ich dachte, dass hier am besten das AGGP-Prinzip angewendet würde (od. das AGP-Prinzip) - Ich würde zunächst Globale Gruppen in der AD anlegen. Also z.B. "Ebene 1 ändern", "Ebene 2 ändern", "Ebene 3 ändern" - in diese Globalen Gruppen kämen dann Untergruppen, wie z.B. "Abt. Finanzen", "Abt. ÖA", Abt. Verwaltung". * alternativ könnte man in die Globalen Gruppen auch schon User einsetzen, wobei ich da nicht sicher bin, ob das hier schon geschehen sollte - Als "G/U" haben wir bereits mehrere Gruppen in der AD. Diese heißen z.B. "USER_Finanzen", "USER_ÖA", "USER_Verwaltung". Diese würde ich weiter nutzen wollen * oder wäre es sinnvoller, auch diese neu anzulegen? - Vererbung: im ROOT würde ich nur List-Rechte vergeben und diese bis ganz nach unten vererben, damit jeder User alle Verzeichnisse mindestens auflisten kann. Dann erst weiter unten die Berechtigungen erweitern. * hier wäre mir noch nicht so ganz klar, wie ich das technisch umsetzen soll Das wäre mein bisher erdachtes Konzept. Allerdings würde ich auch bei der Umsetzung noch etwas Hilfe benötigen, da ich noch nicht so ganz verstanden habe, wie all das mit den unterschiedlichen Berechtigungen und Gruppen zusammenhängt. Freue mich auf Eure Antworten und Tipps. Schöne Grüße, imebro

...super Tipp von einem "Expert Member" Danke...

Danke Dir... Es dauert überhaupt nicht lange, das auszuprobieren. Habe es längst getan, aber es funktioniert nicht, wenn ich die Optionen als Variable angebe. Gibt´s vielleicht nen Tipp hierzu? Grüße, imebro

Aber 2 interessante Fragen hätte ich noch: 1) Im Internet steht in vielen Berichten, dass man bei den Variablen neben "set" keine Anführungsstriche im Pfad angeben soll. Diese soll man dann erst im eigentlichen Robocopy-Befehl angeben (z.B. --> "%Quelle%". Ich habe es jedoch so umgesetzt, dass ich oben bei "set" die Anführungsstriche gesetzt habe und unten im eigentlichen Befehlscode nicht ( also --> %Quelle%). Offenbar funktioniert Beides. Gibt es dennoch einen Unterschied oder ist es wirklich egal, wie man es macht? 2) Kann ich die Optionen auch als Variable mit "set" angeben? Z.B. so --> Set Optionen="/E /MOVE /COPY:DAT /DCOPY:T /XD /MT:12 /R:1 /W:1 /TEE" Dann ist der eigentliche Befehlscode später übersichtlicher... Grüße, imebro

Sorry, aber doch, ich habe das Konzept verstanden Habe das Problem nämlich schon gelöst. Ich habe ein Powershell-Script erstellt, mit dem ich die 3 Daten (Eigenschaften) ändern kann. Damit habe ich einer Datei folgende Daten gegeben: - Erstellt: 1. Mai 2010 - Geändert: 5. Januar 2012 - Letzter Zugriff: 14. August 2018 Normalerweise würde diese Datei gelöscht, da vor dem 1.01.2012 erstellt. Aber da sie am 5.1.2012 verändert wurde, dürfte sie NICHT gelöscht werden, da Stichtag ja der 1.01.2012 ist. Dann habe ich mein Robocopy-Script nochmal durchlaufen lassen... und siehe da... die Datei wurde korrekter Weise NICHT gelöscht Also dürfte mein Script jetzt korrekt sein mit "/minage" und den anderen Einstellungen. Grüße, imebro

Also... scheint, als ob es funktioniert hat. Jedenfalls wurden Dateien tatsächlich verschoben und das Verzeichnis, welches nicht angerührt werden sollte, ist auch unverändert. Nur... so ganz sicher bin ich mir dennoch nicht, ob jetzt wirklich nur die Dateien verschoben wurde, die vor dem 1.01.2012 tatsächlich VERÄNDERT worden sind und nicht auch solche, die vor diesem Datum ERSTELLT wurden. Vielleicht kann ich das ja über die Datei-Eigenschaften herausfinden... nur ist das ja ein Lotteriespiel, da ich ja nicht weiß, welche Dateien ich anschauen soll Ich müßte im Idealfall dann eine Datei finden, die z.B. am 10.05.2010 erstellt und am 2.01.2012 geändert wurde. Wenn diese dann NICHT verschoben wurde, läuft alles richtig (da ja nach dem 1.01.2012 geändert). Dazu müßte ich jedoch sämtliche Dateien über die Eigenschaften prüfen, was kaum möglich ist. Grüße, imebro