Rechte für Mitarbeiter setzen

[Dukel 451]

Ich würde mir das mit den Berechtigungen nochmals genau anschauen und ggf. in einer kleinen Testumgebung durchtesten. Dieses Konstrukt sieht doch sehr merkwürdig aus (ich hatte noch nie explizit das Recht Auslisten benutzt).

Wie immer der Grundsatz KISS -> Keep is Stupid Simple.

[NilsK 2.925]

Moin,

 

Off-Topic:

Wie immer der Grundsatz KISS -> Keep is Stupid Simple.

 

na, das schlägste aber noch mal nach. :wink2:

 

@PappaDieter: Schön, dass du das mit Humor nimmst. So war es auch gemeint, auch wenn es vielleicht nicht so klang. :D

 

Gruß, Nils

[perren 10]

Ich würde mir das mit den Berechtigungen nochmals genau anschauen und ggf. in einer kleinen Testumgebung durchtesten. Dieses Konstrukt sieht doch sehr merkwürdig aus (ich hatte noch nie explizit das Recht Auslisten benutzt).

Wie immer der Grundsatz KISS -> Keep is Stupid Simple.

Ich bin auch an einem ordenlichen Prozess interessiert und will es hoffentlich heute Abend in einer W2K8-VM testen; nur ob ich dazu komme, ist mal wieder fraglich :(

 

Dass das aber schon aufgrund von Updates (davon solls unter Netware ja auch welche gegeben haben) nicht unbedingt sehr sinnvoll ist, lasse ich mal aussen vor. ;)

 

Schon klar. Gerade bzgl. Netware laufen halt so einige Fossilien, für die es lange keine Updates mehr gibt. Im Falle von Netware finde ich das nicht einmal schlimm, denn Angriffe gegen alte Netware's sind zumindest selten. Nachteile sind da zunehmend praktischer Art... Viel schlimmer finde ich die Client-Realität, die man öfter mal sieht. Da denkt man schon mal an Kaiser Wilhelm ;).

[PappaDieter 10]

Ich würde mir das mit den Berechtigungen nochmals genau anschauen und ggf. in einer kleinen Testumgebung durchtesten. Dieses Konstrukt sieht doch sehr merkwürdig aus (ich hatte noch nie explizit das Recht Auslisten benutzt).

Wie immer der Grundsatz KISS -> Keep is Stupid Simple.

 

Zu den Rechten: Ich habe die Rechte 'Lesen/ausführen' und 'Lesen' entfernt und nur 'Ordnerinhalt auflisten' gelassen, weil ich der Meinung war, dass ich so zwar die Baumstruktur sehe, nicht aber die Dateien, und auch nichts in fremden Ordnern öffnen kann. Ich wollte eigentlich auch die Ordner anderer Benutzer nicht anzeigen (weckt u.U. Begehrlichkeiten), da hilft leider auch ABE nichts.

Meine Variante 2 hätte den Charm, dass z.B. die Freigabe 'FD11' (jeder vollzugriff) mir erlaubt, MA111 explizit die Rechte auf den Ordner 'MA111' zu geben, er sieht dann 'MA112' etc. überhaupt nicht, und auch nichts von FD12 etc.. Des weiteren fallen die Ordner-Klickorgien weg, wenn ich das Laufwerk U: nicht mehr ganz oben an 'Daten' anhefte, sondern abhängig von der Gruppenzugehörigkeit (MA111 ist z.B. Mitglied der Gruppe GFD11) zuordne, hier mit 'net use u: \\Server\FD11 /persistent:no'.

[perren 10]

Also ich habe mal gerade anhand einer einfachen Struktur getestet. Es funktionierte... Wie folgt:

 

Teststruktur:

c:\daten\helpdesk\

c:\daten\buchhaltung\

 

- c:\daten\: Die Vererbung gestoppt, ACL entfernt. Domänenadmins rekursiv vollberechtigt, Domänen-Benutzer "Nur für diesen Ordner" -> Ordner durchsuchen und Ordner auflisten.

 

- c:\daten\helpdesk\ und c:\daten\buchhaltung\: Jeweils die entsprechenden Gruppen rekursiv berechtigt. Fertig.

 

ABE ist ja bei W2K8 als Standard eingeschaltet.

 

Es funktioniert, mit einem Unterschied zu Netware: Der forschende User (um den es ja bei ABE hauptsächlich geht) kann zumindest herausfinden, dass ein Verzeichnis existiert: Er kann es im Explorer eintippen. Der Explorer zeigt dann einen leeren Ordner an. Würde der Ordner nicht existieren, bekäme er eine Fehlermeldung.

Meiner Meinung sollte der Explorer bei der Wahrheit bleiben und sagen "Zugriff verweigert". Anzeige eines leeren Ordners bringt nur Konfusion. "Zugriff verweigert" sagt er btw erst, wenn man versucht, etwas anzulegen.