Jump to content

Globale Gruppe direkt in NTFS Berechtigung packen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

So, ich verzweifle jetzt so leicht.

Ich habe mal (vor 15 Jahren) das Prinzip A G DL P gelernt. Dabei sollten globale Gruppen im AD nicht in NTFS - Berechtigungen direkt eingetragen werden. Ich habe damals nie gefragt, warum...

 

Jetzt in meinem neuen Job sehe ich ausschließlich globale Gruppen. Vermutlich, weil mein Vorgänger davon ausging verschachteln zu müssen und mit lokalen Domaingruppen das nicht gehen soll.

 

 

Im Internet gibt es wie so oft - zwei Meinungen, die mich nicht wirklich weiterhelfen:

Die einen sagen - AGDLP gilt. Die anderen sagen pfeif drauf ist eh alles wurscht weil alles geht.

 

Hier an einem Beispiel möchte ich von Euch gerne erläutert bekommen, wie der saubere Weg zu Berechtigungen im AD (2008er mit einigen 2012er Servern) geht.

 

Beispiel 1:

Zehn Benutzer. Ein Verzeichnis auf dem Server in der lokalen Domain. 5 Benutzer sollen nur lesen. 5 Benutzer auch ändern. (ich würde jetzt eine lokale Domaingruppe erzeugen für Lesen und eine für Ändern).

 

 

Beispiel 2:

 

Die FiBu (5 Benutzer) und die Perso (5 Benutzer) sollen auf einem Verzeichnis zugreifen. Beide sollen nur Lesen. Aber ein Benutzer aus der FiBu soll auch ändern.

Ich würde jetzt 2 globale Domaingruppen erzeugen (Perso und FiBu) und die entsprechenden Benutzer in diese eintragen. Jetzt würde ich 2 lokale Domaingruppen erzeugen (lesen und ändern).

 

Die beiden globalen Domaingruppen packe ich in die lokale Domaingruppe lesen. Den einzelnen Benutzer aus der FiBu packe ich zusätzlich noch in die lokale Domaingruppe ändern.

 

Würdet Ihr das auch so machen?

 

 

 

Was passiert, wenn ich globale Domaingruppen direkt in NTFS Berechtigungen eintrage?

 

 

WIN7 64Bit

Win2012R2 64

Win2008R2 64 (hier liegt die Freigabe)

 

 

Danke und Gruß

 

Link zu diesem Kommentar

Moin,

 

technisch ist es völlig egal, ob und wie du mit Gruppen arbeitest. Das A-G-DL-P-Prinzip ist eine organisatorische Empfehlung, mehr nicht. Es gibt keinen technischen Zwang dazu und keinen technischen Vorteil dadurch.

 

A-G-DL-P bewährt sich in größeren Umgebungen, weil es eine strukturierte Vergabe von Berechtigungen nach einem "Rollenkonzept" erleichtert. Außerdem führt es, wenn man es einigermaßen konsequent und durchdacht macht, zu einer besseren Dokumentierbarkeit der Berechtigungen.

Es hat allerdings auch seine Nachteile, weil es gerade in solchen Umgebungen schnell Skalierungsprobleme aufwirft - es gibt dann schnell sehr viele Gruppen.

 

Gruß, Nils

Link zu diesem Kommentar

Das ist das Problem:

Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine.

Die effektiven Berechtigungen stimmen ja auch immer. Trotzdem können einige Benutzer gelegentlich keine Änderungen vornehmen - trotz vorhandener Rechte.

 

Ich habe mal versucht zu prüfen, ob der FileServer ausgelastet ist bzw. einen Memoryleak hat. Bin aber mangels Erfahrung, wie man da ran geht, nicht weiter gekommen.

 

Dann habe ich als "Nothalm" die globalen Gruppen im Verdacht gehabt

 

bearbeitet von audax
Link zu diesem Kommentar

Hallo,

 

hast Du Dein AD irgendwann mal migriert? Ggf. mit SID History? Wenn ja, dann kann es daher kommen. Ich hatte das damals in der alten Firma, wenn User in mehr als ca. 115 Gruppen waren klappte manchmal der Zugriff nicht, bzw. manche Software lief nicht ...

Ich habe dann die MaxTokenSize hochgesetzt und damit war das Problem Geschichte ...

Link zu diesem Kommentar

Moin,

 

Ich habe dann die MaxTokenSize hochgesetzt und damit war das Problem Geschichte ...

 

sagen wir: Damit hast du das Problem in die Zukunft verschoben. wink.gif

 

SID History ist nie für Dauerbetrieb gedacht gewesen, sondern nur als Übergangstechnik. Man sollte das "irgendwann" entfernen. Die Tokengröße ist nur eins der Probleme, die daraus erwachsen können.

 

Gruß, Nils

PS. Als mögliche Ursache für "komische Zugriffsprobleme" kommt das aber in Betracht, da hast du Recht.

bearbeitet von NilsK
Link zu diesem Kommentar

@Nils - tja so gesehen hast Du Recht.

 

Das ist aber jetzt die Baustelle meines Nachfolgers. Und "damals" war es nicht anders möglich, da sonst der Betrieb des ERP Systems nicht mehr möglich gewesen wäre (die ERP Jungs hatten für Navision die Berechtigungsvergabe via Windows Gruppen im SQL gemacht - und die hatten vieeeele Gruppen - es war keine Seltenheit, dass die User in mehr als 150 Gruppen waren ...) und der Geschäftsbetrieb durfte überhaupt nicht gestört werden ....

 

Aber die Domänenmigration war ein spannendes Projekt ... Single 2003er Domain / Exchange 2003 nach komplett neuer 2008R2 Multidomainstruktur und neuem Forest ... mit Exchange 2010 ...

bearbeitet von Squire
Link zu diesem Kommentar

Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine.

Die genaue Fehlermeldung wäre schon sehr hilfreich!

 

Trotzdem würde ich nach dieser vagen Beschreibung eher auf ein Problem am Filer selbst (z.B. Virenscanner, andere 3-rd party Tools) oder auf ein Netzwerkproblem tippen. Tokensize bzw. Gruppenstruktur wohl nicht.

Hast du nur einen Fileserver? Ist das ein "einfacher " Microsoftserver?

Sporadische Fehler sind oft schwierig zu lösen!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...