vmorbit 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Hallo Leute, hab auch schon die Boardsuche benutzt...aber nix passendes gefunden. Sorry falls ich etwas übersehen habe... Wir steigen gerade von NetWare auf Windows Server 2003 um und da hats uns noch ein wenig mit dem Rechte vergeben, da dies ja bei Novell komplett anders funktioniert. Wir haben hier folgendes Problem (frag mich schon ob wir komplett dämlich sind, oder was?!): Ein User brauch auf einen Unterrdner ein Leserecht (z.B: G:\Daten\Abteilung\Unterabteilung). So...auf G:\Daten hat Everyone ein Ordner-Auflisten-Recht, dass nicht vererbt ist. Darunter sind die einzelnen Ordner auf die man durch diverse Gruppenmitgliedschaften (jeweilige Abteilung) ein Recht erhält. Jetzt ist dieser User aber kein Mitglied der Gruppe "Abteilung1" benötigt aber den Zugriff auf den Unterordner "G:\Daten\Abteilung1\Unterabteilung1". Dieses Recht haben wir dem User (bzw. einer anderen Gruppe) auch gegeben, doch wenn er nun darauf zugreifen will, kommt er ja über den Explorer gar nicht zum Ordner "Unterabteilung1" da er ja auf den Ordner "Abteilung1" ja schon kein Recht hat. Leider lässt sie die Ordnerstruktur jetzt nicht mehr umdrehen, da diese schon jahrelang so besteht.... Wenn der User den Pfad zu seinem Unterordner direkt eingibt in die Adresszeile funktioniert es ja, denn das Recht hat er ja...nur das kann man keinem zumuten. Habt ihr da für Everyone ein Ordnerauflistungsrecht vergeben, dass ihr vererbt oder wie löst ihr das? Am besten wäre eine Lösung mit einem nachvollziehbaren System und / oder möglichst wenig Aufwand... Danke schon mal im Voraus, vmorbit Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Hallo, der Umstieg von Novell auf MS hat da seine Tücken. Verwendet Ihr ein Migrationstool wie Wingra oder ähnliches? Falls nicht, müßt Ihr auf der obersten Ebenen anfangen und die Rechte nach unten anpassen. Bei Novell konnte man das pro User sehr differenziert machen, bei MS ist es da anders. Gebt auf der obersten Freigabe allen Domain Usern (falls nötig) List Rechte und vererbt es nach unten, damit jeder in seine Unterordner kommt wenn die Berechtigungen darunter anders sind. Das ganze ist aber sehr zeitaufwendig. Vielleicht nutzt Ihr auch die Chance und passt Eure Ordnerstruktur an damit die verschachtelten Berechtigungen nicht zu weit nach unten gehen. Für den Windows Server empfehlte ich noch ABE (Access Based Numeration), das es von Microsoft kostenlos zum Download gibt, falls Ihr es noch nicht habt. Mit diesem Tool sehen die Benutzer nur noch die Ordner auf die sie auch Rechte haben, so wie sie es bisher von Novell gewohnt waren. Gruß Dirk Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 20. Juni 2007 Autor Melden Teilen Geschrieben 20. Juni 2007 Hallo, danke erstmal für die schnelle Antwort! Die Migration an sich ist schon im Laufen...da wir von vorhinein schon DirXML im Einsatz haben, ist das mit den Usern und den PWs und Gruppen kein Problem an sich. ABE haben wir schon drauf...das ist ja auch ein Teil des Problems (ach solche Dinge sind immer ärgstens schwer zu erklären!) Bei den Rechten haben wir noch so unsere Probleme eben... Ich probiers nochmal ein wenig anders zu erklären: Wie macht ihr dass wenn ein User ein Recht auf einen Unterordner braucht, aber eigentlich am Parent-ordner kein recht hat...wenn ich in Novell z.b. ein Recht vergeben haben auf G:\Daten\Abteilung1\Unterabteilung1 hat der User automatisch auch den Ordner Abteilung1 gesehen da Novell ja "wusste", dass der User darunter ein Recht hat. Wenn ich das aber im Windows mache und ich vergebe das Recht auf den Ordern "unterabteilung" kommt der User ja gar nicht soweit, da ihm auf der Ebene "abteilung1" schon das recht fehlt... Wenn ich aber z.b. everyone das Ordner-auflistungsrecht ganz oben vergebe und das vererbe ist ja wieder das ABE umsonst, weil dann wieder jeder User alles sieht, da ja eben der everyone das recht zum browsen hat. Man müsste dem User der das Recht auf den Unterordner benötigt direkt auf dem Abteilungsordner auch ein Ordnerauflistungsrecht geben, dass nicht vererbt wird, dann würde alles klappen soweit ich das verstehe...jedoch ist das bei 300 Usern schon sehr aufwendig und vorallem schwer automatisierbar...der Aufwand wäre ja immens. Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Das ist die Problematik bei NTFS, da nicht automatisch erkannt wird, daß der Benutzer im Unterordner Rechte hat. Es führt kein Weg daran vorbei auf den übergeordneten Ordner die List Rechte zu setzen. An Eurer Stelle würde ich aber einen anderen Ansatz verwenden. Natürlich kannst Du mit Benutzern und Abteilungen als Rechtegruppen arbeiten, aber es ist etwas unschön und nicht die empfohlene Methode, da Du dabei immer auf diese Problem stossen wirst. Eigentlich sollte man dem Benutzerobjekt überhaupt kein Sicherheitsrecht erteilen, sondern nur einer Gruppe. Damit ist Dir natürlich auch nicht weitergeholfen. Ein Tip: Gewöhne Dir an, für die Freigaben, Ordner, etc. Gruppen anzulegen. z.B. FiBu-Lesen, Fibu-Schreiben. Du gibst dann nur den zwei Gruppen Rechte auf den Ordner, also einmal mit Schreibrecht und einmal Leserecht, und ordnest dann die Benutzer den Gruppen zu. Eine Regel von Microsoft lautet. A-G-L-P (Account-Global-Local-Permission) soll heißen, den Benutzer in die Globale Gruppe, die globale in die Lokale und der lokalen Gruppe das Recht auf das Objekt. Gruß Dirk Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 20. Juni 2007 Autor Melden Teilen Geschrieben 20. Juni 2007 Hallo nochmal... Ja das mit dem User war nur zwecks der Formulierung...wir arbeiten natürlich eh streng nur mit Gruppen...aber da hat man ja wie gesagt das gleiche Problem. Phou...das ist aber dann ganz schön besch***en.... D.h. es führt kein Weg daran vorbei jeder Gruppe auch auf die darüberliegenden Ordner ein explizites und NICHT VERERBTES list-recht zu geben? Gibt es dazu nicht einmal ein tool? Wir haben die Rechte von dem Novell-Server ausgelesen und mit Hilfe einer Batch dann auf den Windows-Server übertragen...da haben wir jetzt aber einen Riesenfehler gemacht, denn dort sind ja jetzt teilweise die Rechte erst ab der 3. Ebene vergeben und so kommen die User nicht hin... Dann müssen wir das wohl so machen... Jeder Gruppe die auf einen Unterordner ein Recht hat, müssen wir auch auf den Ordnern darüber ein nichtvererbbares List-Recht geben... PS: Ja da haben wir wirklich eine ****e Struktur wenn eine Gruppe auf einen Unterordner ein Recht braucht, allerdings auf die anderen Unterordner dieser Ebene nicht... Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Jenachdem wieviele Ordner ihr habt, lohnt sich ein Migrationstool, daß Dir die Rechte automatisch setzt. Ich habe das letzte mal Wingra für die File Migration benutzt und es hat einigermaßen hingehauen, aber eine händische Nacharbeit war trotzdem nötig. Wie vorher schon geschrieben, ist so eine Migration ein guter Zeitpunkt um mal alles unter die Lupe zu nehmen und die Struktur anzupassen. Gruß Dirk Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 20. Juni 2007 Melden Teilen Geschrieben 20. Juni 2007 Solche Strukturen werden normalerweise nicht gebaut, da es bei Microsoft anders funktioniert als bei Novell und es umständlich ist, auf solche Ordner zuzugreifen. Der User kann auch nicht auf diesen Ordner via Angabe des vollständigen Pfades alleine zugreifen, weil er berechtigt ist, sondern hat er auch noch ein Benutzerrecht, was das Durchqueren der nicht berechtigten Ordner erlaubt ("Auslassen der durchsuchenden Überprüfung" oder Directory Traversal). Es gibt ja die Möglichkeit, nur die spezielle Berechtigung "Ordner auflisten/Daten lesen" (für den Bereich "Nur diesen Ordner", damit es nur hier gilt und nicht weiter nach unten vererbt wird) zu vergeben, was man dann an Gruppen vergibt . Möglich wäre ja auch, dass man zusätzliche Freigaben erstellt, die als Root die Abteilungsordner haben und die User z.B. mit einem zusätzlichen Buchstaben, der via Script zugewiesen wird, darauf zugreifen. Allerdings ist das bei einer grossen Menge auch irgendwie nicht richtig praktikabel. Du könntest der Gruppe Jeder die Berechtigung "Ordnerinhalt auflisten" für "Nur diesen Ordner" auf der Ebene "Abteilung1" gewähren, dann klappt das auch noch mit ABE. Es wäre unter Umständen auch möglich, genau diese Berechtigung auf höherer Ebene anzusetzen, dann allerdings für "Diesen Ordner, Unterordner" . Allerdings kommt es dann darauf an, wo die Vererbung in dem Baum deaktiviert wurde. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 20. Juni 2007 Autor Melden Teilen Geschrieben 20. Juni 2007 Jo danke für eure Tipps... So wie du es beschrieben hast werden wir es jetzt auch machen... Schreiben gerade eine Batch die uns das erledigt und dann ist auf allen betreffenden Ordnern das Recht für Everyone gesetzt den Ordnerinhalt aufzulisten, wird aber nicht vererbt! Vielen Dank nochmals an euch!!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.