morro 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Hallo zusamm, ich habe ein gruppenorder/laufwerk gemappt worauf nur 2 user drauf zugreifen dürfen und ihre daten zusamm ablegen dürfen und nur von denen gelesen und bearbeitet und gelöscht werden darf. ich hab auf dem server ein ordner "group" erstellt. und in dem ordner group ein unter ordner "Test" erstellt. Den Ordner Test habe ich freigegeben und die Berechtigung für die Freigabe habe ich nur User 1 und User 2 gegeben mit vollzugriff den User "jeder" habe ich rausgenommen. Unter sicherheit habe ich User1 und User2 auch nochmal angegeben ebenfalls mit vollzugriff, eben falls den administrator. Dann habe ich die ordner als laufwerke gemappt und fertig. Ist das soweit ok? Oder gibts da sicherheitsmängel? Oder hätte ich den Ordner Group freigeben müssen anstatt den unterordner Test.... Vielen Herzlichen Dank für Eure Hilfe--- freue mich schon auf eure antworten:) Mouhcine Zitieren Link zu diesem Kommentar
Hruedinger 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Hi. Wäre es nicht einfacher, wenn du die Freigabe für alle und jeden als Vollzugriff definierst und dann über die NTFS-Berechtigungen (Reiter Sicherheit) nur die beiden User und den Admin als zugriffsberechtigt und mit Vollzugriff versiehst? Das ist zumindest die Vorgehensweise, die in den Büchern empfohlen wird, auch wenn man durch die Mischformen durchblicken können muss, falls man mal so einen (sorry) Krampf vorfindet. Gruß Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 30. August 2007 Autor Melden Teilen Geschrieben 30. August 2007 ich werd das mal testen danke...glaub nämlich das ich das mal getestet hatte aber andere user z.b ordner anlegen konnten das wollte ich ja nicht...vill hab ich da ja was übersehen ...werd es nochmal probieren danke... womüsste ich denn die freigabe tätigen? auf den ordner "group" oder in dem unter ordner "test"? Zitieren Link zu diesem Kommentar
Lakritzschnecke 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Wäre es nicht einfacher, wenn du die Freigabe für alle und jeden als Vollzugriff definierst und dann über die NTFS-Berechtigungen (Reiter Sicherheit) nur die beiden User und den Admin als zugriffsberechtigt und mit Vollzugriff versiehst? Genau so wird es gemacht! Dann hat man auch noch weitere Möglichkeiten der Beschränkung. Wenn der Ordner group für die Gruppe bestimmt ist, musst Du diesen auch freigeben! Alle weiteren Unterordner erstellen die User sich selber. LG Marcel Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 30. August 2007 Autor Melden Teilen Geschrieben 30. August 2007 danke für eure antworten... hab jetzt folgendes gemacht und zwar den ordner "test" freigegebn und für "jeder" vollzugriff gegeben und unter sicherheit hab ich den testuser mit vollzugriff versehen und admin natürlich...aber komischerweise kann ich mit nem anderen user auch noch ordner erstellen?? da stimmt doch was niht? Zitieren Link zu diesem Kommentar
voitiechg 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 du musst bei den Berechtigungen unter "Sicherheit" aufpassen das wirklich nur der Testuser und die Gruppe Domänenadmins zb zugriff haben! Standardmässig wird auch die Gruppe BENUTZER hinzugefügt mit einigen wenigen Rechten. Die musst du natürlich entfernen wenn kein anderer drauf zugreifen darf. Auch mit den vererbungen etc musst aufpassen (ersichtlich unter Sicherheit und unten auf ERWEITERT). also im Endeffekt sollte es bei deinem Beispiel nur 4 Eintragungen geben unter Sicherheit: DomänenAdmins (Administratoren) ERSTELLER-BESITZER (könnte man speziell in diesem Beispiel sogar weglassen.) Testuser SYSTEM Zitieren Link zu diesem Kommentar
morro 10 Geschrieben 30. August 2007 Autor Melden Teilen Geschrieben 30. August 2007 ja stimmt lag am "benutzer" jetzt klappts, dank dir :-) Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 Hi Ich würde so allgmein wie nötig so einfach wie möglich die berechtigungen einrichten. Auf der Freigabeberechtigungen die Gruppe Jeder raus dafür authentifizierte Benutzer rein Jetzt nach der AGLP -Methode die Bereichtigungen erstellt Account in globale Gruppe zuordnen. (G_Testbenutzer) Dann kommt es darauf an liegt das Share auf nen DC oder auf nen Memberserver Wenn auf Memberserver dann dort in der Computerverwaltung die Gruppen einrichten In deinem Beispiel würde ich (so mach ich das, andere können es anders tun) 3 Gruppen einrichten L_Test_rwxd (Lokale Gruppe Test mit den NTFS-Berechtigungen ändern) L_Test_rx (Lokale Gruppe Test mit den NTFS-Berechtigungen Lesen/ausführen) L_Test_na (Lokale Gruppe Test mit den NTFS-Berechtigungen not allout Zugriff verweigert erstellen und dem Ordner Test zuweisen. Auch in der Computerverwaltung beim Erstellen der gruppen kannst du gleich die Globale Gruppe G_Testbenutzer der Lokalen Gruppe L_Test_rwxd zuweisen. damit hast du G und L in der der AGLP-Methode zusammen geführt die Permission ergibt sich aus den NTSF-Berechtigungen der lokalen Gruppe Zitieren Link zu diesem Kommentar
voitiechg 10 Geschrieben 30. August 2007 Melden Teilen Geschrieben 30. August 2007 apropo AGLP Methode... ich versteh das noch nicht zu 100% wieso diese Methode vorgeschlagen wird bei der Rechtevergabe??? wieso macht man nicht eine AGP Methode? Also das man den Ordnern direkt die Globale Gruppen zuweisst mit den Rechten. Und zu den globalen Gruppen die user direkt... wieso ist da eine lokale gruppe dazwischen ?!? kann mir es wer anhand eines Beispiels erklären? --> Beispiel: User: Buchhalter1 (soll Buchhaltung ändern können) Controller1 (soll Buchhaltung nur lesen können) Globale Gruppen: Buchhaltung_ändern (Mitglied: Buchhalter1) Buchhaltung_lesen (Mitglied: Controller1) Ordner auf Fileserver: Ordner Buchhaltung mit folgenden Rechten -> Gruppe Buchhaltung_ändern hat das Recht Ändern, Buchhaltung_lesen hat das Recht Lesen. so wäre doch alles super, oder nicht? Falls ein neuer User kommt, der Änderungsrechte braucht, bekommt er einfach die Gruppe Buchhaltung_ändern, oder eben Buchhaltung_lesen oder gar keine für gar keinen Zugriff auf Buchhaltung. Wozu also noch eine lokale Gruppe dazwischen??? Wär echt froh wenn mir wer es anhand dieses Beispieles erklären könnte... bin am verzweifeln... DANKE ! Zitieren Link zu diesem Kommentar
giffy 10 Geschrieben 31. August 2007 Melden Teilen Geschrieben 31. August 2007 Ok funzen tut diese variante auch.. kein thema aber überlegemal wenn du in einer großen Organisation bist und du mußt die Zugriffe auf Verzeichnisse steuern. Dann ist das Zuordnen der globalen Gruppen zu lokalen Gruppen mit max 2 Schritten erledigt.(Der 2. Schritt ergibt sich aus dem entfernen der globalen Gruppe deren Berechtigungen auf ein Verzeichnis sich ändern) Bei deiner Methode in einer großen Organisation wirst du lange suchen müßen um alle Benutzer dann der globalen Gruppe zu zuzordnen. Also ist der Verwaltungsaufwand bei Änderungen des Workflow in einer Frime/Abteilung/Projektgruppe groß. Hingegen ist beim Implementierne der AGLP-Methode der Aufwand beim Einrichten erst einmal groß. Die Pflege im laufenden Betrieb dagegen geringer. Deshalb mein Tip.... Du weist nicht was noch kommt also gleich davon ausgehen, dass deine Firma nen weltweit operierendes Unternehmen ist auch wenn es nur ne Arztpraxis oder ähnliches ist (Sorry soll sich keiner beleidigt fühlen der ne Arztpraxis betreut) :-) Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 31. August 2007 Melden Teilen Geschrieben 31. August 2007 Die Standardvorgehensweise ist AGDLP. Dazu gibt es sogar einen Wiki Eintrag: AGDLP - Wikipedia, the free encyclopedia. Damit kann man Gesamtstrukturübergreifende Berechtigungen relativ einfach verwalten. Siehe Wiki Beispiel. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.