phatair 39 Geschrieben 9. Mai 2017 Melden Teilen Geschrieben 9. Mai 2017 Hallo zusammen, ich hätte mal eine Frage zur Strukturierung der AD Gruppen für File Server Berechtigungen. Direkt gesetzte Einzelberechtigungen soll man auf dem File Server ja vermeiden. Wir berechtigen maximal 3 Ebenen tief und erstellen für jeden Ordner der eine spezielle Berechtigung bekommen soll eine AD Gruppe. Das könnte dann wie folgt aussehen. Hauptordner 1 (Berechtigungsgruppe "Hauptordner 1") - Unterordner 1 (geerbt von "Hauptordner 1") - Unterordner 2 ( Berechtigungsgruppe "Unterordner 2") - Unterordner 1 (geerbt von "Unterordner 2") - Unterordner 2 (Berechtigungsgruppe "Unterordner 3") - Unterordner 3 (geerbt von "Hauptordner 1") Hauptordner 2 (Berechtigungsgruppe "Hauptordner 2") Das führt natürlich zu sehr vielen Gruppen in der AD. Einige User haben dann natürlich auch sehr viele Gruppenmitgliedschaften. Ist das für die Performance irgendwie problematisch? Ich weiß nur, dass es zu Problemen kommen kann, wenn sehr viele Gruppen oder Einzelberechtigungen auf einen Ordner gesetzt sind. Natürlich könnte man auch z.B. Gruppen nach Abteilungen machen und diese dann immer berechtigen. Aber das macht das ganze etwas unflexibler, da dann plötzlich der Mitarbeiter von der Abteilung A nicht auf den Ordner B zugreifen soll und dann muss ich doch wieder extra Gruppen bauen. Mit der jetzigen Berechtigung habe ich eine gute Übersicht und für mich auch eine logische und nachvollziehbare Struktur aufgebaut. Mein einziger Gedanke ist eben jetzt die Geschwindigkeit bzw. das es vielleicht bei vielen Gruppen zu Problemen kommen könnte. Wahrscheinlich mache ich mich mit der Frage etwas lächerlich, da wir wirklich kein großes Unternehmen sind. Wir haben ca. 100 AD Accounts und im Moment 210 Berechtigungsgruppen. :) Würde mich trotzdem interessieren ob es hier Richtlinien gibt an denen man sich orientieren sollte oder ob man einfach Gruppen anlegen kann, ohne sich darüber Gedanken zu machen. Die File Server laufen im Moment noch mit 2008R2 und 2012R2. Das AD Schema ist 2012R2. Vielen Dank schon mal. Gruß Zitieren Link zu diesem Kommentar
Beste Lösung NilsK 2.958 Geschrieben 9. Mai 2017 Beste Lösung Melden Teilen Geschrieben 9. Mai 2017 Moin, das Limit für Gruppenmitgliedschaften prop User liegt bei gut 1000 Stück. Daher würde ich bei eurer Unternehmensgröße noch kein Problem technischer Natur erwarten. Auch auf die Performance wird sich dies nicht spürbar auswirken, da gibt es beim Dateizugriff andere Faktoren, die ins Gewicht fallen. Gleichwohl ist der Grundgedanke zutreffend. Es ergibt gerade bei solchen Konstrukten Sinn, möglichst viel an Strukturen und Berechtigungen logisch zusammenzufassen und möglichst wenige Ausnahmen zu definieren, die separate Gruppen erfordern. Als Grundansatz für die Umsetzung im AD empfehle ich das A-G-DL-P-Prinzip. [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Gruß, Nils Zitieren Link zu diesem Kommentar
wickett 0 Geschrieben 9. Mai 2017 Melden Teilen Geschrieben 9. Mai 2017 Melde dich mal bei mir per PM, ich kann Dir da helfen, bin selber Fileserver Admin für über 8000 User und habe sowas umgesetzt und arbeite damit täglich. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 9. Mai 2017 Autor Melden Teilen Geschrieben 9. Mai 2017 Danke euch. @Nils: Danke für den Link - ich dachte immer eine Berechtigung mit "Gruppen in Gruppen" ist nicht empfehlenswert. Aber da scheint sich ja was geändert zu haben. Klingt auf jeden Fall interessant aber braucht auch viel Vorbereitung. In naher Zukunft werde ich das sicherlich nicht anfassen, da fehlt mir einfach im Moment die Zeit für. Aber auf jeden Fall gut zu wissen. Auf jeden Fall weiß ich erstmal, dass ich noch etwas Luft nach oben habe, mit 1000 Gruppenmitgliedschaften :) Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 9. Mai 2017 Melden Teilen Geschrieben 9. Mai 2017 Moin, das A-G-DL-P-Prinzip ist jetzt volljährig. Und der Vorläufer wurde mit NT 3.1 eingeführt. So richtig neu ist das also nicht. :D Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.