Jump to content

Wie richte ich korrekt ein gruppenlaufwerk/ordner ein mit freigabe/sicherheitseinst.


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusamm,

 

ich habe ein gruppenorder/laufwerk gemappt worauf nur 2 user drauf zugreifen dürfen und ihre daten zusamm ablegen dürfen und nur von denen gelesen und bearbeitet und gelöscht werden darf.

 

ich hab auf dem server ein ordner "group" erstellt. und in dem ordner group ein unter ordner "Test" erstellt.

 

Den Ordner Test habe ich freigegeben und die Berechtigung für die Freigabe habe ich nur User 1 und User 2 gegeben mit vollzugriff den User "jeder" habe ich rausgenommen. Unter sicherheit habe ich User1 und User2 auch nochmal angegeben ebenfalls mit vollzugriff, eben falls den administrator.

 

Dann habe ich die ordner als laufwerke gemappt und fertig.

 

Ist das soweit ok? Oder gibts da sicherheitsmängel? Oder hätte ich den Ordner Group freigeben müssen anstatt den unterordner Test....

 

Vielen Herzlichen Dank für Eure Hilfe---

 

 

freue mich schon auf eure antworten:)

 

Mouhcine

Link zu diesem Kommentar

Hi.

 

Wäre es nicht einfacher, wenn du die Freigabe für alle und jeden als Vollzugriff definierst und dann über die NTFS-Berechtigungen (Reiter Sicherheit) nur die beiden User und den Admin als zugriffsberechtigt und mit Vollzugriff versiehst?

 

Das ist zumindest die Vorgehensweise, die in den Büchern empfohlen wird, auch wenn man durch die Mischformen durchblicken können muss, falls man mal so einen (sorry) Krampf vorfindet.

 

Gruß

Link zu diesem Kommentar
Wäre es nicht einfacher, wenn du die Freigabe für alle und jeden als Vollzugriff definierst und dann über die NTFS-Berechtigungen (Reiter Sicherheit) nur die beiden User und den Admin als zugriffsberechtigt und mit Vollzugriff versiehst?

 

Genau so wird es gemacht! Dann hat man auch noch weitere Möglichkeiten der Beschränkung.

 

Wenn der Ordner group für die Gruppe bestimmt ist, musst Du diesen auch freigeben! Alle weiteren Unterordner erstellen die User sich selber.

 

LG Marcel

Link zu diesem Kommentar

du musst bei den Berechtigungen unter "Sicherheit" aufpassen das wirklich nur der Testuser und die Gruppe Domänenadmins zb zugriff haben!

 

Standardmässig wird auch die Gruppe BENUTZER hinzugefügt mit einigen wenigen Rechten.

Die musst du natürlich entfernen wenn kein anderer drauf zugreifen darf. Auch mit den vererbungen etc musst aufpassen (ersichtlich unter Sicherheit und unten auf ERWEITERT).

 

also im Endeffekt sollte es bei deinem Beispiel nur 4 Eintragungen geben unter Sicherheit:

DomänenAdmins (Administratoren)

ERSTELLER-BESITZER (könnte man speziell in diesem Beispiel sogar weglassen.)

Testuser

SYSTEM

Link zu diesem Kommentar

Hi

Ich würde so allgmein wie nötig so einfach wie möglich die berechtigungen einrichten.

Auf der Freigabeberechtigungen die Gruppe Jeder raus dafür authentifizierte Benutzer rein

Jetzt nach der AGLP -Methode die Bereichtigungen erstellt

Account in globale Gruppe zuordnen. (G_Testbenutzer)

Dann kommt es darauf an liegt das Share auf nen DC oder auf nen Memberserver

Wenn auf Memberserver dann dort in der Computerverwaltung die Gruppen einrichten

In deinem Beispiel würde ich (so mach ich das, andere können es anders tun) 3 Gruppen einrichten

L_Test_rwxd (Lokale Gruppe Test mit den NTFS-Berechtigungen ändern)

L_Test_rx (Lokale Gruppe Test mit den NTFS-Berechtigungen Lesen/ausführen)

L_Test_na (Lokale Gruppe Test mit den NTFS-Berechtigungen not allout Zugriff verweigert erstellen und dem Ordner Test zuweisen.

Auch in der Computerverwaltung beim Erstellen der gruppen kannst du gleich die Globale Gruppe G_Testbenutzer der Lokalen Gruppe L_Test_rwxd zuweisen. damit hast du G und L in der der AGLP-Methode zusammen geführt die Permission ergibt sich aus den NTSF-Berechtigungen der lokalen Gruppe

Link zu diesem Kommentar

apropo AGLP Methode...

 

ich versteh das noch nicht zu 100% wieso diese Methode vorgeschlagen wird bei der Rechtevergabe???

 

wieso macht man nicht eine AGP Methode?

Also das man den Ordnern direkt die Globale Gruppen zuweisst mit den Rechten. Und zu den globalen Gruppen die user direkt...

wieso ist da eine lokale gruppe dazwischen ?!?

 

kann mir es wer anhand eines Beispiels erklären? -->

 

Beispiel:

 

User:

Buchhalter1 (soll Buchhaltung ändern können)

Controller1 (soll Buchhaltung nur lesen können)

 

Globale Gruppen:

Buchhaltung_ändern (Mitglied: Buchhalter1)

Buchhaltung_lesen (Mitglied: Controller1)

 

Ordner auf Fileserver:

Ordner Buchhaltung mit folgenden Rechten -> Gruppe Buchhaltung_ändern hat das Recht Ändern, Buchhaltung_lesen hat das Recht Lesen.

 

so wäre doch alles super, oder nicht?

Falls ein neuer User kommt, der Änderungsrechte braucht, bekommt er einfach die Gruppe Buchhaltung_ändern, oder eben Buchhaltung_lesen oder gar keine für gar keinen Zugriff auf Buchhaltung.

 

Wozu also noch eine lokale Gruppe dazwischen???

Wär echt froh wenn mir wer es anhand dieses Beispieles erklären könnte... bin am verzweifeln...

 

DANKE !

Link zu diesem Kommentar

Ok

funzen tut diese variante auch.. kein thema

 

aber überlegemal wenn du in einer großen Organisation bist und du mußt die Zugriffe auf Verzeichnisse steuern.

Dann ist das Zuordnen der globalen Gruppen zu lokalen Gruppen mit max 2 Schritten

erledigt.(Der 2. Schritt ergibt sich aus dem entfernen der globalen Gruppe deren Berechtigungen auf ein Verzeichnis sich ändern)

Bei deiner Methode in einer großen Organisation wirst du lange suchen müßen um alle Benutzer dann der globalen Gruppe zu zuzordnen. Also ist der Verwaltungsaufwand bei Änderungen des Workflow in einer Frime/Abteilung/Projektgruppe groß.

Hingegen ist beim Implementierne der AGLP-Methode der Aufwand beim Einrichten erst einmal groß. Die Pflege im laufenden Betrieb dagegen geringer.

Deshalb mein Tip....

Du weist nicht was noch kommt also gleich davon ausgehen, dass deine Firma nen weltweit operierendes Unternehmen ist auch wenn es nur ne Arztpraxis oder ähnliches ist (Sorry soll sich keiner beleidigt fühlen der ne Arztpraxis betreut) :-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...