BinGo2010 10 Geschrieben 26. März 2012 Melden Teilen Geschrieben 26. März 2012 Hallo Zusammen, ich bräuchte eure Hilfe zum Verständnis. Ich bin gerade dabei mit einem Windows Server 2008 x64 zu testen. Mir ist zum ersten Mal aufgefallen, dass in der den Gruppen Servername\Administratoren und Servername\Benutzer die jeweiligen Gruppen der Domäne mit eingefügt sind; sprich Domäne\Administratoren und Domäne\Benutzer. Jetzt kommt die Verständnisfrage: Wenn ich jetzt einen Ordner anlege und diesen für alle Domänen Benutzer Freigaben möchte (Dom Admin soll natürlich auch Zugriff haben), sind die Lokalen- Gruppen für Administoren und Benutzer bereits hinterlegt. Sollte ich jetzt nach Best Practise weiter mit diesen Gruppen arbeiten oder diese entfernen und die Domänen Gruppen einfügen und berechtigen. Um sowas zu verhindern wäre es empfehlenswert die Vereerbung nach untern zu unterbrechen oder gleich auf dem Laufwerk die Lokalen Gruppen rausnehmen und die Domänen Gruppen rein setzen? Auf 2003 Servern haben wir immer die Domänen Benutzer drin aber mal den Administrator der Domäne und mal die Lokale- Gruppe Administroren... Ist das ein Feature von 2008 ? Wäre wirklich Dankbar, wenn mich jemand erleuchten könnte. Vielen Dank. Zitieren Link zu diesem Kommentar
BinGo2010 10 Geschrieben 26. März 2012 Autor Melden Teilen Geschrieben 26. März 2012 Kann mir wirklicher keiner Helfen? Oder habe ich dei Frage Falsch gestellt? Bitte um Hilfe... Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 26. März 2012 Melden Teilen Geschrieben 26. März 2012 Bitte um Hilfe... Dann musst du dich schon ein wenig gedulden. Das ist hier ist ein Forum und kein Chat. Und schließlich haben wir uns auch einen Feierabend verdient, oder bist du da anderer Meinung? Also Geduld, deinen Server gibt es auch morgen noch. LG Günther Zitieren Link zu diesem Kommentar
BinGo2010 10 Geschrieben 27. März 2012 Autor Melden Teilen Geschrieben 27. März 2012 Habe mich nur gewundert, da schon 35 "Klicks" waren:) hätte ja an meiner Fragestellung liegen können:( Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 27. März 2012 Melden Teilen Geschrieben 27. März 2012 Hallo! Mir ist zum ersten Mal aufgefallen, dass in der den Gruppen Servername\Administratoren und Servername\Benutzer die jeweiligen Gruppen der Domäne mit eingefügt sind; sprich Domäne\Administratoren und Domäne\Benutzer. Das ist völlig normal :wink2: Jetzt kommt die Verständnisfrage: Wenn ich jetzt einen Ordner anlege und diesen für alle Domänen Benutzer Freigaben möchte (Dom Admin soll natürlich auch Zugriff haben), sind die Lokalen- Gruppen für Administoren und Benutzer bereits hinterlegt. Sollte ich jetzt nach Best Practise weiter mit diesen Gruppen arbeiten oder diese entfernen und die Domänen Gruppen einfügen und berechtigen. Dazu müsste man erstmal wissen, was du denn erreichen willst. :suspect: Um sowas zu verhindern wäre es empfehlenswert die Vereerbung nach untern zu unterbrechen oder gleich auf dem Laufwerk die Lokalen Gruppen rausnehmen und die Domänen Gruppen rein setzen? Da sich die Freigaben vermutlich auf einem Server, oder DC befinden, ist es im Grunde keine Problem, die lokale Gruppe der Admins darin zu belassen. Die Vererbung unterbrechen musst du an gewissen Stellen auf jeden Fall, da du sonst dein Konfigurationsziel nicht erreichen kannst, weil du übergeordnete Objekte mitschleifst. Auf 2003 Servern haben wir immer die Domänen Benutzer drin aber mal den Administrator der Domäne und mal die Lokale- Gruppe Administroren... Ist das ein Feature von 2008 ? Mir ist nicht so ganz klar, was du mit dieser Aussage meinst. Die enthaltenen Objekte einer Freigabe hängen von der Ursprungskonfiguartion ab. In den Sicherheitseigenschaften eines Benutzerprofils hat z.Bsp. selbst der Admin nix verloren. Und das erreichst du nur, indem du die Vererbung aufhebst und den Administrator oder wen auch immer entfernst. SO WIRD'S GEMACHT: Steuern der Vererbung von NTFS-Berechtigungen in Windows Ist zwar ein etwas älterer Beitrag, deckt aber die Grundbedürfnisse ab. ;) Grüße Zitieren Link zu diesem Kommentar
BinGo2010 10 Geschrieben 27. März 2012 Autor Melden Teilen Geschrieben 27. März 2012 Hi, danke für deine Antwort. Mein Ziel: Der 2008 soll den alten File-Server 2003 ablösen. Mein Vorgänger hat fast auf alles die Berechtigung "Jeder" gesetzt :( Ich möchte mit dem neuen File- Server die Berechtigungen nach "Best Practise" setzen und deshalb habe ich nun auf die Freigaben die lokalen Gruppen vom Server entfernt und und dann die Domänen Gruppen reingesetzt. Ist viel Aufwand fand ich und dabei ist mir wie oben beschrieben aufgefallen, dass in den lokalen Gruppen die Domänen Gruppen hinterlegt sind. Ist mir wirklich vorher nie aufgefallen:( Und von Aufwand her dachte ich mir, dass ich mit denen ja weiter arbeiten könnte aber ich habe in meinen paar Jahren noch nie gesehen, das auf einem File- Server mit den lokalen Gruppen gearbeitet wurde. Na ja deshalb habe ich mir gestern die Mühe gemacht und alles angepasst. Nur Frage ich mich, ob die Anpassung mit den Domänen Gruppen, System, Ersteller-Besitzer und Domänen Admins hätte sein müssen. Davon sind natürlich die Home-und- Profil Verzeichnisse ausgeschlossen. Die Hauptfrage ist eigentlich, ob nach "Best Practise" die lokalen Gruppen hätten drin bleiben können oder ob es dabei irgendwelche Probleme hätte geben können wie späteres Verschachtelungsproblem oder eine Sinnvolle zurück Verfolgung? Sorry für den vielen Text. Versuche damit meine eigenen Gedanken zu ordnen:) Danke noch mal! Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 28. März 2012 Melden Teilen Geschrieben 28. März 2012 Hallo! Die Hauptfrage ist eigentlich, ob nach "Best Practise" die lokalen Gruppen hätten drin bleiben können oder ob es dabei irgendwelche Probleme hätte geben können wie späteres Verschachtelungsproblem oder eine Sinnvolle zurück Verfolgung? In der Regel gestaltet man das Berechtigungsmodell so, daß nur Objekte Zugriff erhalten, die das auch sollen - will sagen, man versucht möglichst Verweigerungen zu vermeiden. Man sollte tunlichst darauf achten, an den richtigen Stellen, die Vererbung aufzuheben und die Berechtigungen manuell zu konfigurieren. An manchen Stellen wiederum ist kein User eingriff notwendig, da das System den Zugriff korrekt konfiguriert. Man könnte endlos darüber referieren, was gut und schlecht ist, aber zu guter Letzt ist es wichtig, wie die genauen Anforderungen aussehen - um hier mal einen der Forumskollegen zu zitieren. Im Netz findest du Massen an Informationen zu Rechtevergabe nach Best- oder auch Bad Practice. :wink2: Grüße Zitieren Link zu diesem Kommentar
BinGo2010 10 Geschrieben 29. März 2012 Autor Melden Teilen Geschrieben 29. März 2012 Hallo! In der Regel gestaltet man das Berechtigungsmodell so, daß nur Objekte Zugriff erhalten, die das auch sollen - will sagen, man versucht möglichst Verweigerungen zu vermeiden. Man sollte tunlichst darauf achten, an den richtigen Stellen, die Vererbung aufzuheben und die Berechtigungen manuell zu konfigurieren. An manchen Stellen wiederum ist kein User eingriff notwendig, da das System den Zugriff korrekt konfiguriert. Man könnte endlos darüber referieren, was gut und schlecht ist, aber zu guter Letzt ist es wichtig, wie die genauen Anforderungen aussehen - um hier mal einen der Forumskollegen zu zitieren. Im Netz findest du Massen an Informationen zu Rechtevergabe nach Best- oder auch Bad Practice. :wink2: Grüße Hallo Gabriel70, Danke. Denke, dann bin ich doch einigermaßen auf dem rechten Weg. Mein vorgehen is eigentlich immer die Vererbung soweit es nützllich ist drin zu lassen und ggf. anzupassen, wie in diesem Fällen. Danke Vielmals. Zitieren Link zu diesem Kommentar
Gabriel70 10 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Kein Problem. Gern geschehen. :) Zitieren Link zu diesem Kommentar
icePatrick 10 Geschrieben 29. März 2012 Melden Teilen Geschrieben 29. März 2012 Ich handhabe es immer so: Auf Servern in die Freigabe und die NTFS Berechtigungen immer die Domänen-Benutzer eintragen. Besser ist, du legst im AD eine Gruppe und trägst diese Gruppe in die Freigabe und die NTFS Berechtigungen ein. Das hat den Vorteil, wenn später ein Mitarbeiter hinzukommt oder geht musst du nur noch Anpassungen im AD vornehmen, nicht mehr an den NTFS Berechtigungen. An Clients verwende ich immer die lokalen Gruppen, darin sehe ich den Vorteil, sollte der Client mal aus der Domäne genommen werden haben z.B. neue, lokal angelegte Benutzer immer noch die gleichen Zugriffsrechte wie die Domänen-Benutzer. Zitieren Link zu diesem Kommentar
BinGo2010 10 Geschrieben 31. März 2012 Autor Melden Teilen Geschrieben 31. März 2012 Ich handhabe es immer so:Auf Servern in die Freigabe und die NTFS Berechtigungen immer die Domänen-Benutzer eintragen. Besser ist, du legst im AD eine Gruppe und trägst diese Gruppe in die Freigabe und die NTFS Berechtigungen ein. Das hat den Vorteil, wenn später ein Mitarbeiter hinzukommt oder geht musst du nur noch Anpassungen im AD vornehmen, nicht mehr an den NTFS Berechtigungen. In den Freigaben setze ich auch die Dom-Benutzer, ist mir lieber als Jeder. An Clients verwende ich immer die lokalen Gruppen, darin sehe ich den Vorteil, sollte der Client mal aus der Domäne genommen werden haben z.B. neue, lokal angelegte Benutzer immer noch die gleichen Zugriffsrechte wie die Domänen-Benutzer. Hmm auf Clients.. ja könnte man wirklich mit den lokalen Gruppen arbeiten aber ich da ich davon ausgehe, dass ich den Client, wenn ich Ihn aus der Domäne entferne die Berechtigungen eh ändern muss oder der Client defekt ist ;) Gruß BinGo Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.