Jump to content

Deep Links mit ABE


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich probiere im Moment anstatt immer mehr einzelner Freigaben besser mit Access Based Enumeration zu arbeiten. Und ideal wäre auch ein Deep Link. Ich hoffe ich habe meine Planung und derzeitige Testumgebung verständlich dargestellt.

 

ABE auf die Freigabe \\fileserver:\A (ohne $) ist aktiviert

 

\\fileserver:\ A (Freigabe/NTFS: Jeder)

 

\\fileserver:\ A\ Abt1 (NTFS: Abteilung1)

\\fileserver:\ A\ Abt1\ A.1 (NTFS: Abteilung1)

 

\\fileserver:\ A\ Abt 2 (NTFS: Abteilung2)

\\fileserver:\ A\ Abt 2\ B.1 (NTFS: Abteilung2)

\\fileserver:\ A\ Abt 2\ B.2 (NTFS: Abteilung1 und Abteilung2)

 

Die Leerzeichen habe ich eingefügt weil ich hoffe man kann es so besser lesen.

 

Mitglieder der Abteilung1 sollen unter Laufwerksbuchstaben F: folgendes gemappt bekommen:

 

F:\ Abt1

F:\ B.2 (ohne den übergeordneten Ordner \ Abt 2\)

 

Aber bisher würden Mitglieder der Abt1 die 2 Ordner Abt1 und Abt2 sehen und müssten sich zu B.2 durchklicken und könnten

bis dahin natürlich mehr sehen als sie sollten.

 

Brauche ich nun ein Logon Skript das für ein Mitglied Abt1 unter LW: nur \Abt1 und \B.2 anzeigt? Jedoch nicht den Inhalt von

\A\Abt2.

 

Danke schon mal im Voraus und hoffe heimlich das ich mich nicht auch noch mit dem Logon Skript befassen muss.

Link zu diesem Kommentar

Hallo,

 

Du kannst es ja testen mit net use als Vorlage für den Deep Link. Ich meine aber, ein User sollte ein Netzlaufwerk selbst herstellen können mit dem Explorer bis zum Ziel, deshalb sollte die Struktur dafür geeignet sein, er sollte Berchtigung darauf haben, es sollte keinen Leerraum geben.

 

Vereinfacht beschrieben hbe ich habe sowas wie den Ordner ALLES freigegben, darin die Abteilungen, darin jeweils die Subs.

 

Projekte können direkt in ALLES liegen oder als Sub der Abteilung. Die Benutzer erhalten Berechtigung und damit Sicht darauf als Member der Sicherheitsgruppen für die Ordner, dafür gibt es ein strukturieres System.

bearbeitet von lefg
Link zu diesem Kommentar

Hi RalGab,

 

versuch mal, eine Directory Junction mit mklink zu erstellen in \\fileserver:\ A mit dem Namen B.1 und lass sie auf \\fileserver:\ A\ Abt 2\ B.2 als Ziel zeigen. DAs ganze richtest DU auf dem Server mit den lokalen Dateisystempfaden ein (nicht mit den UNC-Pfaden). Alternativ sollte auch eine Verknüpfung mit dem Namen B.1.lnk mit dem Ziel \\fileserver:\ A\ Abt 2\ B.2 funktionieren. Hab das jetzt nicht getestet aber berichte mal, ob eines von den beiden Dingen geht.

 

Have fun!
Daniel

Link zu diesem Kommentar

\\fileserver:\ A\ Abt 2 (NTFS: Abteilung2)
\\fileserver:\ A\ Abt 2\ B.1 (NTFS: Abteilung2)
\\fileserver:\ A\ Abt 2\ B.2 (NTFS: Abteilung1 und Abteilung2)

Moin,

 

ich würde überlegen, den Ordner B2 aus dem Baum der Abteilung2 in ein eigenes Verzeichnis für abteilungsübergreifende Themen zu verschieben.

Es ist zwar technisch möglich, Brechtigungsbrüche innerhalb eines Baumes zu nutzen. Das kann aber sehr schnell sehr unübersichtlich werden und zu Fehlern bei der Administration oder Nutzung führen.

Link zu diesem Kommentar

Hallo Dunkelmann,

 

ja,

\\ Alle\ B.2

ist gute Idee. Der administrative Aufwand erscheint mir aber ähnlich groß. Auch hier muss ich nachhalten wie die Berechtigungen sind, und wenn ich irgendwo ein "Jeder" vergesse wäre die Veröffentlichung weitreichender.

 

Aber das Problem mit dem Mappen in einem Laufwerksbuchstaben fällt weg. Ich habe noch Zeit bis ich da was ändern kann/will. Ggf. greife ich wirklich auf den gemeinsamen Ordner zurück. Oder werde mit mehr Laufwerksbuchstaben arbeiten.

 

 

Hallo Daniel,

 

ein Ansatz für die kommende Arbeitswoche bei mir. Danke, werde mich in "mklink" einlesen müssen. Ein erster Blick zeigt Ähnlichkeiten mit dem alten "subst". In damaligen Zeiten ja sehr hilfreich.

Link zu diesem Kommentar

Mit mehr Laufwerksbuchstaben, mit mehr (vielen) Netzlaufwerken zu arbeiten, dass sich bei uns für die Benutzer als unpraktisch herausgestellt, deshalb wurde das abgeschaft. Per Default von der Administratation geben wir derzeit so vier Laufwerke vor, der User kann sich nach Gusto selbst weitere erstellen.

 

Ich beschreibe unsere Struktueren -Ordner und Sicherheitsgruppen- mal stark veraeinfacht.

 

- Ordner Alles (Freigegeben)

   - darin Ordner Projekt

 

- Sicherheitsgrupope Projekt

   - darin Mitglied Sicherheitgruppe Alles

 

Wird nun ein User Member der Sicherheitsgruppe Projekt, erhält er damit Berechtigung auf die Ordner Projekt und Alles.

 

Natürlich wird von Alles die Access Control List nicht vererbt, die Verebung ist abgeschaltet.

bearbeitet von lefg
Link zu diesem Kommentar

Hallo lefg,

 

Dein Vorschlag macht mir das als Admin auf der einen Seite einfach. Flache Strukturen. Aber in 7 Abteilungen mit mehreren eigenen Projekten befürchte ich, das wenn ich "zu flach werde", selber den Überblick werden könnte.

 

Ich habe Daniels Vorschlag noch nicht weiter für mich nachgelesen. Wenn ich mklink korrekt verstehe und es ähnlich dem subst'n ist, könnte mir das auch schon weiterhelfen. Ob nun mittels mklink, oder einfach den Ordner per Verlinkung in die Struktur einer anderen Abteilung zu legen......

Die Idee, welche mir saueinfach und nur logisch erscheint, kam ich erst nach dem Tipp von Daniel. Danke Daniel.  :jau:

 

Eure Tipps werde ich mit anderen, auch nicht Admins, durchsprechen. Dadurch bekomme ich öfter mal eine neue Sicht auf das Problem wenn ich es anderen Menschen erkläre.

Link zu diesem Kommentar

Ich habe dir nur ein flaches Beispiel geliefert, einmal der leichten Anschauung wegen, und ich wollte mir nicht viel Arbeit machen. Ich kann dir ja nicht ein Abbild unserer Struktur mit ihren Benennungen liefern.

 

Als ich die Server übernahm, da gab gab es ein völlig unübersichtliches, zufällig entstandenes Unkonstrukt von Rootordnern, Verschachtelungen und Freigaben. Ich habe dann mit einigen Leuten gesprochen, formellen und informellen Führern, habe denen das gezeigt und meine Gedanken zur Verbesserung und letztendlich Arbeitserleichterung der Kolleginnen und Kollegen aufgezeigt, ich erhielt erfreute Zustimmung dafür.

 

Ich hatte einen Plan, schuf die neuen Strukturen der Ordner und Sicherheitsgruppen schrittweise, die Benutzer merkten überhaupt nichts davon, sie behielten ihre Laufwerke wie bisher, eines Tages änderte sich nur der Pfad einzelner Laufwerke, es kam ein Rootlaufwerk dazu.

 

Die Benutzer wurden dann auf die neue Struktur aufmerksam gemacht, auf die Möglichkeit sich die Arbeit zu erleichtern und das Verbinden individueller Netzlaufwerke, ich fand offene Türen.

bearbeitet von lefg
Link zu diesem Kommentar

Wir haben das gleiche durch: Novell -> CIFS. Bei usn sinds allerdings direkt netapp-Cifs-shares geworden.

Novell hat eine blöde Eigenschaft worüber ich als ursprünglicher Linux/Unix-Mann derbe drüber gestolpert bin: Wenn man im baum weiter unten ein recht setzt, dann vererbt sich ein Travers-Recht nach oben durch. Also Vererbung-Falschherum.

Bsp:

root

|

+-folder1

       |

       +folder1a

       |

       +folder1b

 

 

Macht man ein denyall auf root und gibt dann user1 Leserechte auf folder1a kann er sich ab root durchhangeln. Jedes Linuxsystem und auch netapp sagen aber schon beim versuch nach root zu gehen "access denied".

 

Die Folge war bei uns das wir tatsächlich die Rechteverwaltung nur noch auf einer Eben haben und dann alles im DFS zusammenstückeln.

Das hat zur Folge das in folder1 keine Dateien mehr liegen sondern nur noch in den Ordner darunter welche jeweils einen CIFS-Share darstellen.

Für jeden ahre gibt es dann lokale und globale Gruppen um die Rechte zuzuweisen.

Im Ergebnis haben wir jetzt zwar eine Unmenge an CIFS-Shares und Gruppen, anders konnten wir aber die vorhandene Rechtestruktur aber nicht übertragen.

bearbeitet von magheinz
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...