lextor 10 Geschrieben 9. Mai 2012 Melden Teilen Geschrieben 9. Mai 2012 Hallo zusammen, wir stellen unsere Fileservices von Novell auf AD um. Ich möchte die Rechteverwaltung an die Keyuser bzw. an die Owner der Daten delegieren (Hinzufügen von Berechtigungen, etc.). Meine Frage: Was ist best practice? Wie kann ich erreichen, das Anwender in der MMC nur ihre Bereiche sehen können und nicht die ganze Domänenstruktur? 2003 Domäne; Clients zumeist XP (Umstellung auf W7 läuft) Danke schon mal für die Antwort :-) Gruß lextor Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 9. Mai 2012 Melden Teilen Geschrieben 9. Mai 2012 das Anwender in der MMC nur ihre Bereiche sehen können und nicht die ganze Domänenstruktur? Du meinst wahrscheinlich Windows Explorer. Wenn ja, dann ist ABE dein Stichwort. Bei Windows 2003 muss ABE noch nachinstalliert werden, ab Windows 2008 ist es bereits fix dabei. LG Günther Zitieren Link zu diesem Kommentar
lextor 10 Geschrieben 9. Mai 2012 Autor Melden Teilen Geschrieben 9. Mai 2012 danke für die schnelle Antwort; eigentlich meine ich schon die MMC; wir wollen die Rechteverwaltung über Gruppen realisieren. Die Mitgliedschaft der Gruppen soll von dem jeweiligen Fachbereich selbst verwaltet werden. Appropos ABE.... funktioniert das nicht erst ab Functionlevel 2008 richtig? siehe unten ------------------------------------ >>> ABE is not internally supported on Windows 2003 /2000 Based DFS Namespace But Microsoft KB Article helps to enable ABE by tweaking it, But at this point of time in XXX Infrastructure is not ready to deploy DFS in Windows 2008 Mode which has ABE In-built . It’s not recommended at this time to enable ABE because · Because DFS Namespace Structure Backup will not backup ABE setting, If Restored it will lose all ABE Tweaking . · Complex to Support and deploy for all sites as this requires manual tweaking and setup. Please let me know if you have any issue/suggestions. Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 9. Mai 2012 Melden Teilen Geschrieben 9. Mai 2012 ABE funktioniert im DFS Namespace erst ab FL 2008. Als doofer Fileserver kann das auch 2003 schon. ;) Die Bearbeitung von Gruppenmitgliedschaften kannst du delegieren. Siehe andere Threads. https://www.mcseboard.de/active-directory-forum-79/delegieren-aufgaben-ad-186153.html https://www.mcseboard.de/active-directory-forum-79/user-hoeheren-rechten-ad-186152.html Zitieren Link zu diesem Kommentar
lextor 10 Geschrieben 9. Mai 2012 Autor Melden Teilen Geschrieben 9. Mai 2012 Danke für die Hinweise. Eines bleibt aber noch offen...... Zur Rechteverwaltung muss ich den Anwendern die MMC (Users and Computers) zu Verfügung stellen? In einer sehr großen Domänenstruktur möchte ich nicht, das dort jemand mehr sieht als er soll (auch wenn er keine Rechte auf die Objekte hat). Gibt's da eine Möglichkeit? Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 9. Mai 2012 Melden Teilen Geschrieben 9. Mai 2012 Du kannst ein 3rd Party Tool (k.a. ob's da was fertiges gibt oder ob man was selbst programmieren muss) nutzen. Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 10. Mai 2012 Melden Teilen Geschrieben 10. Mai 2012 Danke für die Hinweise. Eines bleibt aber noch offen......Zur Rechteverwaltung muss ich den Anwendern die MMC (Users and Computers) zu Verfügung stellen? In einer sehr großen Domänenstruktur möchte ich nicht, das dort jemand mehr sieht als er soll (auch wenn er keine Rechte auf die Objekte hat). Gibt's da eine Möglichkeit? Im AD hat grundsätzlich jeder Benutzer die Möglichkeit alles zu lesen. Dabei ist es egal ob er das Verwaltungs Snap In, die AD Suchfunktion in Windows oder einen LDAP Browser nutzt. Für delegierte Administration nutzen wir ein einfaches selbstgebasteltes Programm mit folgenden Funktionen: - Benutzer anlegen - Benutzerdaten (Firma, Abteilung, Telefon usw.) anpassen - Benutzer deaktivieren - Kennwort zurücksetzen - Gruppenmitgliedschaft ändern Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 10. Mai 2012 Melden Teilen Geschrieben 10. Mai 2012 Moin, wenn die Umgebung wirklich so groß ist, wie du angibst, empfehle ich zwei Dinge: 1. Arbeitet mit jemandem zusammen, der sich mit den Best Practices für große AD-Umgebungen auskennt 2. Setzt ein Provisioning-Tool ein, das euch bei der Delegation von Rechten in AD und im Dateisystem Probleme und Fehler erspart Zu 2. ist meine Empfehlung der Operations Manager von Unicat, es gibt aber auch einen Haufen anderer Werkzeuge dieser Art. Mit Bordmitteln sind das Delegieren von Aufgaben und eine verteilte Rechteverwaltung nicht sinnvoll machbar, sobald die Umgebung etwas größer ist. Gruß, Nils Zitieren Link zu diesem Kommentar
lextor 10 Geschrieben 10. Mai 2012 Autor Melden Teilen Geschrieben 10. Mai 2012 Danke für die Antworten. @Nils >> Je größer die Umgebung, je wichtiger die Application umso weniger Personal und natürlich darf das auch nichts kosten. Es sei denn, der ROI liegt unter 3 Monaten. Das ist leider seit einigen Jahren Standart; zumindest bei dem "global player" für den ich arbeite. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.