vmorbit 10 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Hallo, wir starten gerade ein Projekt bezüglich Filesystem. Es geht darum, dass unsere Firma in 3 Firmen unterteilt worden ist und somit alles komplizierter wird. Die eine Abteilung einer Firma will mit einer bestimmten Abteilung einer anderen Firma zusammenarbeiten, aber mit dem Rest nicht...so gehts ab bei uns, doch es fehlt uns ein System... im Moment siehts so aus: F:\Daten\%Abteilung%\ F:\Daten\Projekte F:\Daten\Alle F:\Daten\Temp Das sind so die großen Ordner bei uns...%Abteilung% ist eh klar was gemeint ist, jedoch sind hier die Firmen noch nicht berücksichtigt. "Projekte" ist auch logisch, das wird wie eine Abteilung behandelt, aber löst sich irgendwann wieder auf. In "Alle" hat jeder ein Schreibrecht und da kommen die Dinge rein die eben sehr viele betreffen und Temp ist das gleiche nur, dass alles was älter ist als 2 Wochen in der Nacht gelöscht wird. Jetzt ist die Frage gibt es für solche Fälle Best Practices von MSFT oder sonstige Richtlinien für eine Filesystem-Struktur. Technisch steht uns alles zur Verfügung was es so gibt...DFS, ABE, NTFS-permissions und bezüglich Gruppen hätte ich natürlich an A-G-(U)-DL-P gedacht... Wie macht ihr das? Gibt es bei euch "Datenhäfen" wo eine Firmen etwas für eine bestimmte andere Firma ablegen kann oder nehmt ihr das alles nicht so genau? Bitte um Input wie man es machen kann...hoffe es war verständlich um was es geht... Vielen Dank schon mal im Voraus! vmorbit Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Moin, naja, wie du schon andeutest: Letztlich gibt es da nur allgemeine Empfehlungen. Jede Firma tickt anders, und Anforderungen in diesem Bereich gleichen sich nie. Da ihr aber offenbar die Chance zum Neuaufbau habt: Nutzt die Gelegenheit, systematisch vorzugehen. Dokumentiert die wichtigsten Anforderungen. Entwerft dann in Ruhe ein System, das nach Möglichkeit nicht zu komplex ist. Baut evtl. Piloten in einem Testlab und spielt ein paar typische Anwendungsfälle durch. Technisch rate ich zum Einsatz des A-G-DL-P-Konzepts, also letztlich eine rollenbasierte Struktur. Ihr solltet später möglichst selten die ACLs anpassen, sondern möglichst viel über Gruppenmitgliedschaften steuern. Weiterhin kann DFS-N eine gute Idee sein, um unabhängig von Servernamen zu werden. Vielleicht wäre aber auch Sharepoint eine Alternative, ggf. auch als Suchmaschine über den Datenbestand. Damit verliert zumindest für den erlaubten Zugriff die Struktur ihre Dramatik, weil man Daten intuitiver wiederfindet. Gruß, Nils Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 4. Juli 2008 Autor Melden Teilen Geschrieben 4. Juli 2008 Hallo, danke für die schnellen infos... da ich selbst ein microsoftie bin (lol) ist es klar, dass wir A-G-DL-P einsetzen ;) soweit so gut...das ganze wird auch als projekt aufgezogen, also ruhe und planung spielen auf jeden fall mit :D sharepoint ist keine option...wir haben als mail system lotus domino und wollen daher nicht zu weit in die sharepoint welt vordringen...entweder ganz oder gar nicht. ich weiß, dass sharepoint kein zwang ist auf exchange zu wechseln, aber ja...so sieht das unser boss ;) außerdem ist das ja 1. nicht gerade billig und 2. mit einem immensen schulungsaufwand verbunden...das wollen wir vermeiden. im projekt enthalten sind auch fragen bezüglich NTFS berechtigungen... welche berechtigungen gebt ihr euren usern? dürfen dieses die file-berechtigungen lesen z.b.? nehmt ihr die standard-berechtigungen lesen / ändern oder habt ihr geschickt ausgefeilte kombinationen von erweiterten berechtigungen? bzgl. jede firma tickt anders: ja das ist schon klar... aber es gibt doch in jeder firma bereiche in die nur eine abteilung rein darf und bereiche die für mehrere bestimmte abteilungen geschaffen sind und bereiche die für alle da sind, oder?! alleine schon was HR und CO betrifft, darf ja dort nicht jeder rein, sondern nur gewisse Mitarbeiter aus HR und CO und eben gewisse andere auch z.b. abteilungsleiter oder dergleichen... wie löst ihr sowas? habt ihr dann im z.b. CO-bereich einen public folder wo jeder rein kann oder erstellt ihr einen eignen - von CO unabhängigen - bereich der extra als austauschstation für daten zweier abteilungen gedacht ist? ps: bezüglich rollen: wie habt ihr sowas implementiert? gibt es dann rollen wie "abteilungsleiter", "konstrukteur" oder "verkäufer" ? also nicht nur globale gruppen die die organisation wiedergeben sondern auch gruppen die für rollen stehen? nehmt ihr dafür auch globale gruppen? das heißt die rechte eines users ergeben sich aus den abteilungs-gruppen denen er angehört und den rollen die ihm zugeteilt sind? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 4. Juli 2008 Melden Teilen Geschrieben 4. Juli 2008 Moin, sharepoint ist keine option... zum Suchen wäre aber evtl. die Search-Only-Version was für euch. wie löst ihr sowas? Radio Eriwan: Im Prinzip ja, aber. Mal passt es so besser, mal so. In der Praxis hat man aber sehr selten die Chance, solch eine Struktur neu aufzubauen. Wenn ihr die habt und auch noch Zeit zur Verfügung steht, dann nutzt die! Nur ein Beispiel: Du hast bislang noch sehr wenig zu deinen Anforderungen gesagt, aber nach vielen technischen Lösungen gefragt. Das ist irgendwie verkehrt rum. Ein Forum ist dafür auch nicht ganz die richtige Stelle - solche Fragen könnt ihr nur intern klären. Wenn ihr aber eine "Lösung" aufbaut, ohne die Anforderungen zu klären, wird es nie richtig passen und nichts richtig lösen. ps: bezüglich rollen: wie habt ihr sowas implementiert? Mit A-G-DL-P. Genau dafür ist das da. Windows hat schon mit der ersten NT-Version (1993!) sein sehr leistungsfähiges Rollenkonzept gehabt, nur hat man das damals noch nicht so genannt. Beispiel: Du willst den Zugriff auf die zusammenhängenden Ressourcen "ShareA", "SQL-DatenbankA" und "ApplikationA" steuern. Die Anforderung sagt, dass wer ApplikationA starten soll, mindestens Leserechte auf die anderen beiden Ressourcen braucht. Manche User sollen dort aber auch Daten ändern können. Also haben wir gerade zwei Rollen identifiziert: "A-Leser" und "A-Bearbeiter". Die legen wir als Domänenlokale Gruppen an (die Ressourcen sind ja üblicherweise in derselben Domäne, aber vielleicht sollen auch User aus anderen Domänen zugreifen, also ist der Gruppentyp der beste). Erstere erhält Leserechte auf ShareA, DatenbankA (= Select-Rechte oder sowas) und ApplikationA (Programmverzeichnis, Citrix-Berechtigung oder was immer). Die zweite erhält für ShareA und DatenbankA auch Ändern-Rechte. Das war's. Danach werden die ACLs (idealerweise) nie wieder angefasst, sondern nur noch Mitgliedschaften in den beiden Gruppen geregelt. Gruß, Nils (übrigens scheint deine Shift-Taste zwischenzeitlich defekt zu sein.) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.