audax 0 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 So, ich verzweifle jetzt so leicht. Ich habe mal (vor 15 Jahren) das Prinzip A G DL P gelernt. Dabei sollten globale Gruppen im AD nicht in NTFS - Berechtigungen direkt eingetragen werden. Ich habe damals nie gefragt, warum... Jetzt in meinem neuen Job sehe ich ausschließlich globale Gruppen. Vermutlich, weil mein Vorgänger davon ausging verschachteln zu müssen und mit lokalen Domaingruppen das nicht gehen soll. Im Internet gibt es wie so oft - zwei Meinungen, die mich nicht wirklich weiterhelfen: Die einen sagen - AGDLP gilt. Die anderen sagen pfeif drauf ist eh alles wurscht weil alles geht. Hier an einem Beispiel möchte ich von Euch gerne erläutert bekommen, wie der saubere Weg zu Berechtigungen im AD (2008er mit einigen 2012er Servern) geht. Beispiel 1: Zehn Benutzer. Ein Verzeichnis auf dem Server in der lokalen Domain. 5 Benutzer sollen nur lesen. 5 Benutzer auch ändern. (ich würde jetzt eine lokale Domaingruppe erzeugen für Lesen und eine für Ändern). Beispiel 2: Die FiBu (5 Benutzer) und die Perso (5 Benutzer) sollen auf einem Verzeichnis zugreifen. Beide sollen nur Lesen. Aber ein Benutzer aus der FiBu soll auch ändern. Ich würde jetzt 2 globale Domaingruppen erzeugen (Perso und FiBu) und die entsprechenden Benutzer in diese eintragen. Jetzt würde ich 2 lokale Domaingruppen erzeugen (lesen und ändern). Die beiden globalen Domaingruppen packe ich in die lokale Domaingruppe lesen. Den einzelnen Benutzer aus der FiBu packe ich zusätzlich noch in die lokale Domaingruppe ändern. Würdet Ihr das auch so machen? Was passiert, wenn ich globale Domaingruppen direkt in NTFS Berechtigungen eintrage? WIN7 64Bit Win2012R2 64 Win2008R2 64 (hier liegt die Freigabe) Danke und Gruß Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Moin, technisch ist es völlig egal, ob und wie du mit Gruppen arbeitest. Das A-G-DL-P-Prinzip ist eine organisatorische Empfehlung, mehr nicht. Es gibt keinen technischen Zwang dazu und keinen technischen Vorteil dadurch. A-G-DL-P bewährt sich in größeren Umgebungen, weil es eine strukturierte Vergabe von Berechtigungen nach einem "Rollenkonzept" erleichtert. Außerdem führt es, wenn man es einigermaßen konsequent und durchdacht macht, zu einer besseren Dokumentierbarkeit der Berechtigungen. Es hat allerdings auch seine Nachteile, weil es gerade in solchen Umgebungen schnell Skalierungsprobleme aufwirft - es gibt dann schnell sehr viele Gruppen. Gruß, Nils Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 25. Oktober 2016 Autor Melden Teilen Geschrieben 25. Oktober 2016 Mist! :-) Ich habe gehofft, meine sporadisch auftretenden Zugriffsprobleme mancher Benutzer auf Dateien eines Verzeichnisses damit erklären zu können. Pustekuchen. Danke für die endgültige Klarheit Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Wieviele User/ wieviele Gruppen/ wieviele Domänen im Forest hast du? Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 25. Oktober 2016 Autor Melden Teilen Geschrieben 25. Oktober 2016 Ich habe ca. 500 Benutzer, etwa 100 Gruppen (noch alle Globale DOmaingruppen) und nur eine einzige Domain. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 in der Größenordnung ist's technisch wirklich egal, wie du deine Gruppen organisierst. Wie äußern sich denn die Zugriffsprobleme? Access denied, Not found ? Zitieren Link zu diesem Kommentar
audax 0 Geschrieben 25. Oktober 2016 Autor Melden Teilen Geschrieben 25. Oktober 2016 (bearbeitet) Das ist das Problem: Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine. Die effektiven Berechtigungen stimmen ja auch immer. Trotzdem können einige Benutzer gelegentlich keine Änderungen vornehmen - trotz vorhandener Rechte. Ich habe mal versucht zu prüfen, ob der FileServer ausgelastet ist bzw. einen Memoryleak hat. Bin aber mangels Erfahrung, wie man da ran geht, nicht weiter gekommen. Dann habe ich als "Nothalm" die globalen Gruppen im Verdacht gehabt bearbeitet 25. Oktober 2016 von audax Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 25. Oktober 2016 Melden Teilen Geschrieben 25. Oktober 2016 Hi, bei "kuriosen" Zugriffsproblemen ist ein Blick auf die beteiligten Virenscanner nie verkehrt ;) Kommen sich da evtl. in unglücklichen Konstellationen User, Client-AV und Server-AV in die Quere? Was meldet denn das Eventlog am Server und Client? Gruß Jan Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Hallo, hast Du Dein AD irgendwann mal migriert? Ggf. mit SID History? Wenn ja, dann kann es daher kommen. Ich hatte das damals in der alten Firma, wenn User in mehr als ca. 115 Gruppen waren klappte manchmal der Zugriff nicht, bzw. manche Software lief nicht ... Ich habe dann die MaxTokenSize hochgesetzt und damit war das Problem Geschichte ... Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 (bearbeitet) Moin, Ich habe dann die MaxTokenSize hochgesetzt und damit war das Problem Geschichte ... sagen wir: Damit hast du das Problem in die Zukunft verschoben. SID History ist nie für Dauerbetrieb gedacht gewesen, sondern nur als Übergangstechnik. Man sollte das "irgendwann" entfernen. Die Tokengröße ist nur eins der Probleme, die daraus erwachsen können. Gruß, Nils PS. Als mögliche Ursache für "komische Zugriffsprobleme" kommt das aber in Betracht, da hast du Recht. bearbeitet 26. Oktober 2016 von NilsK Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 (bearbeitet) @Nils - tja so gesehen hast Du Recht. Das ist aber jetzt die Baustelle meines Nachfolgers. Und "damals" war es nicht anders möglich, da sonst der Betrieb des ERP Systems nicht mehr möglich gewesen wäre (die ERP Jungs hatten für Navision die Berechtigungsvergabe via Windows Gruppen im SQL gemacht - und die hatten vieeeele Gruppen - es war keine Seltenheit, dass die User in mehr als 150 Gruppen waren ...) und der Geschäftsbetrieb durfte überhaupt nicht gestört werden .... Aber die Domänenmigration war ein spannendes Projekt ... Single 2003er Domain / Exchange 2003 nach komplett neuer 2008R2 Multidomainstruktur und neuem Forest ... mit Exchange 2010 ... bearbeitet 26. Oktober 2016 von Squire Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 26. Oktober 2016 Melden Teilen Geschrieben 26. Oktober 2016 Es kommt manchmal eine Meldung, dass die Datei noch im Zugriff sei, oder es kommt einfach gar keine. Die genaue Fehlermeldung wäre schon sehr hilfreich! Trotzdem würde ich nach dieser vagen Beschreibung eher auf ein Problem am Filer selbst (z.B. Virenscanner, andere 3-rd party Tools) oder auf ein Netzwerkproblem tippen. Tokensize bzw. Gruppenstruktur wohl nicht. Hast du nur einen Fileserver? Ist das ein "einfacher " Microsoftserver? Sporadische Fehler sind oft schwierig zu lösen! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.