jostrn 13 Geschrieben 7. November 2013 Melden Teilen Geschrieben 7. November 2013 Guten Abend, wie verteilt ihr die Berechtigungen auf ein firmenweites Netzlaufwerk in kleinen bis mittleren Unternehmen? Gibt es best practices? So mache ich es normalerweise: Die Benutzer kommen in globale Funktionsgruppen (wie "Geschäftsführung", "Buchhaltung", "Personal"). Dabei versuche ich, verschachtelte globale Gruppen zu vermeiden. Nur für bestimmte Freigaben (z.B. "Datev", "Lexware", "sFirm", ...) erstelle ich lokale Gruppen, denen ich die globalen Gruppen hinzufüge. Für das Firmenlaufwerk lege ich keine lokalen Gruppen an, sondern gebe den globalen Gruppen auf Freigabeebene Vollzugriff. Bei den NTFS-Berechtigungen klicke ich die globalen Gruppen direkt in die Ordner und dokumentiere über die Rechte die organisatorischen Verfügungsrechte. Beispielsweise bekommt die globale Gruppe Sekretariat Ändern-Rechte während die Geschäftsführung Vollzugriff hat. Wer Änderungen selbst vornehmen könnte darf RfCs genehmigen. Jetzt habe ich einen neuen Server übernommen, bei dem die Rechte wie folgt konfiguriert sind: Die Benutzer sind in globalen Gruppen, wie bei mir. Im AD gibt es eine OU für Dateisystemberechtigungen. Für jeden Ordner im Firmenlaufwerk gibt es eine globale Gruppe mit dem Namen des Ordners und den Rechten, z.B. für den Ordner "Personal" eine Gruppe "Personal-RW". RW steht für ReadWrite, also Ändern. In diesen Gruppen stehen die globalen Benutzergruppen. Jeder Ordner im Freigaberoot enthält also eine Gruppe Ordnername-RW mit Ändern-Berechtigung sowie die Administratoren mit Vollzugriff. Für Unterordner, die die Vererbung durchbrechen, gibt es analog Gruppen "Rootordner_Unterordner-Berechtigung". Ich sehe so eine Struktur zum ersten Mal und ich nehme folgende Nachteile gegenüber meinem Vorgehen war: Es gibt keine lokalen Gruppen. Ich muss mich (ohne Zusatzsoftware) durch mindestens zwei Gruppen hangeln um zu sehen, wer berechtigt ist. Weil es meist nur "-RW"-Gruppen gibt haben alle Benutzer Ändern-Rechte. Ich brauche also eine zusätzliche Informationsquelle um zu wissen, wer Änderungen der Berechtigungen genehmigen darf. Es gibt für jeden Ordner mit durchbrochener Vererbung mindestens eine eigene globale Gruppe, was ich redundant finde. Gegenüber meinem System habe ich jetzt schon 31 statt 12 Gruppen. Vielleicht gibt es auch Vorteile, die ich nicht erkannt habe. Welche dieser beiden unterschiedlichen Vorgehensweisen würdet ihr nehmen bzw. was würdet ihr anders (besser ;) ) machen? Vielen Dank vorweg und viele Grüße Zitieren Link zu diesem Kommentar
NeMiX 76 Geschrieben 7. November 2013 Melden Teilen Geschrieben 7. November 2013 Wir setzen auch immer das 2. System ein, haben aber zusätzlich noch Lesegruppen (_RO). Vorteil ist für uns ist das man so Abteilungen abbilden kann, welche meistens in anderen Produkten benötigt werden (Sharepoint z.b.) und man so anhand des Orgcharts berechtigungen verteilen kann. Zitieren Link zu diesem Kommentar
jostrn 13 Geschrieben 7. November 2013 Autor Melden Teilen Geschrieben 7. November 2013 Wir setzen auch immer das 2. System ein, haben aber zusätzlich noch Lesegruppen (_RO). Vorteil ist für uns ist das man so Abteilungen abbilden kann, welche meistens in anderen Produkten benötigt werden (Sharepoint z.b.) und man so anhand des Orgcharts berechtigungen verteilen kann. Gibt es bei euch VERZEICHNIS_xx-Gruppen oder eher ABTEILUNG_xx-Gruppen? Sind diese Gruppen global oder lokal? Zitieren Link zu diesem Kommentar
NorbertFe 2.102 Geschrieben 7. November 2013 Melden Teilen Geschrieben 7. November 2013 Welchen Vorteil siehst du denn in der Nutzung lokaler Gruppen? Abgesehen davon, kann man mit der zweiten (dir unbekannteren Version) deutlich besser Steuern, wenn man nämlich noch mit schachtelnd und übergeordneten Gruppen die Berechtigung schon vorgibt. Dann muss der User nämlich nur in den Gruppen Mitglied sein, die ihm das Recht auf den Ordner geben. Bei richtiger Bezeichnung der Gruppen weiß ich also sofort, wo dér Nutzer Zugriff hat. Bye Norbert Ps. Ja, wir haben sogar view Gruppen, die einfach nur den Zugriff bis zum eigentlichen Ordner freischalten und nirgends wird die Vererbung unterbrochen. Zitieren Link zu diesem Kommentar
jostrn 13 Geschrieben 8. November 2013 Autor Melden Teilen Geschrieben 8. November 2013 Welchen Vorteil siehst du denn in der Nutzung lokaler Gruppen? Keinen, in den MS-Trainings früher hieß es Benutzer-Global-Lokal-Berechtigung. In der ersten Variante fällt die lokale Gruppe weg, in der Zweiten steht stattdessen eine globale Gruppe. Beide Varianten sind anders, als ich es mal gelernt habe ;) Abgesehen davon, kann man mit der zweiten (dir unbekannteren Version) deutlich besser Steuern, wenn man nämlich noch mit schachtelnd und übergeordneten Gruppen die Berechtigung schon vorgibt. Dann muss der User nämlich nur in den Gruppen Mitglied sein, die ihm das Recht auf den Ordner geben. Bei richtiger Bezeichnung der Gruppen weiß ich also sofort, wo dér Nutzer Zugriff hat. Irgendwo hänge ich gedanklich! Du hast für jedes Verzeichnis eine Gruppe Verzeichnisname-RW, in der z.B. die globale Gruppe G steht und darin ist Benutzer X Mitglied - wie kommst Du dann vom Benutzer auf die Verzeichnisse? Ps. Ja, wir haben sogar view Gruppen, die einfach nur den Zugriff bis zum eigentlichen Ordner freischalten und nirgends wird die Vererbung unterbrochen. Das ist elegant, habe ich auch gleich gemacht und eine Gruppe "Verzeichnisname-LT" (für list & traverse) angelegt. Vergibst Du die traverse-Rechte nur über NTFS oder auch über das GPO? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.