Jump to content

Berechtigung über Gruppen - Frage zur Strukturierung


Direkt zur Lösung Gelöst von NilsK,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich hätte mal eine Frage zur Strukturierung der AD Gruppen für File Server Berechtigungen.

 

Direkt gesetzte Einzelberechtigungen soll man auf dem File Server ja vermeiden. Wir berechtigen maximal 3 Ebenen tief und erstellen für jeden Ordner der eine spezielle Berechtigung bekommen soll eine AD Gruppe.

 

Das könnte dann wie folgt aussehen.

 

Hauptordner 1 (Berechtigungsgruppe "Hauptordner 1")

- Unterordner 1 (geerbt von "Hauptordner 1")

- Unterordner 2 ( Berechtigungsgruppe "Unterordner 2")

     - Unterordner 1 (geerbt von "Unterordner 2")

     - Unterordner 2 (Berechtigungsgruppe "Unterordner 3")

- Unterordner 3 (geerbt von "Hauptordner 1")

Hauptordner 2 (Berechtigungsgruppe "Hauptordner 2")

 

Das führt natürlich zu sehr vielen Gruppen in der AD. Einige User haben dann natürlich auch sehr viele Gruppenmitgliedschaften. Ist das für die Performance irgendwie problematisch? Ich weiß nur, dass es zu Problemen kommen kann, wenn sehr viele Gruppen oder Einzelberechtigungen auf einen Ordner gesetzt sind.

 

Natürlich könnte man auch z.B. Gruppen nach Abteilungen machen und diese dann immer berechtigen. Aber das macht das ganze etwas unflexibler, da dann plötzlich der Mitarbeiter von der Abteilung A nicht auf den Ordner B zugreifen soll und dann muss ich doch wieder extra Gruppen bauen.

Mit der jetzigen Berechtigung habe ich eine gute Übersicht und für mich auch eine logische und nachvollziehbare Struktur aufgebaut. Mein einziger Gedanke ist eben jetzt die Geschwindigkeit bzw. das es vielleicht bei vielen Gruppen zu Problemen kommen könnte.

 

Wahrscheinlich mache ich mich mit der Frage etwas lächerlich, da wir wirklich kein großes Unternehmen sind. Wir haben ca. 100 AD Accounts und im Moment 210 Berechtigungsgruppen.  :)

Würde mich trotzdem interessieren ob es hier Richtlinien gibt an denen man sich orientieren sollte oder ob man einfach Gruppen anlegen kann, ohne sich darüber Gedanken zu machen.

 

Die File Server laufen im Moment noch mit 2008R2 und 2012R2. Das AD Schema ist 2012R2.

 

Vielen Dank schon mal.

Gruß

Link zu diesem Kommentar
  • Beste Lösung

Moin,

 

das Limit für Gruppenmitgliedschaften prop User liegt bei gut 1000 Stück. Daher würde ich bei eurer Unternehmensgröße noch kein Problem technischer Natur erwarten. Auch auf die Performance wird sich dies nicht spürbar auswirken, da gibt es beim Dateizugriff andere Faktoren, die ins Gewicht fallen.

 

Gleichwohl ist der Grundgedanke zutreffend. Es ergibt gerade bei solchen Konstrukten Sinn, möglichst viel an Strukturen und Berechtigungen logisch zusammenzufassen und möglichst wenige Ausnahmen zu definieren, die separate Gruppen erfordern. Als Grundansatz für die Umsetzung im AD empfehle ich das A-G-DL-P-Prinzip.

 

[Windows-Gruppen richtig nutzen | faq-o-matic.net]
https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Gruß, Nils

Link zu diesem Kommentar

Danke euch. 

 

@Nils: Danke für den Link - ich dachte immer eine Berechtigung mit "Gruppen in Gruppen" ist nicht empfehlenswert. Aber da scheint sich ja was geändert zu haben. Klingt auf jeden Fall interessant aber braucht auch viel Vorbereitung. In naher Zukunft werde ich das sicherlich nicht anfassen, da fehlt mir einfach im Moment die Zeit für. Aber auf jeden Fall gut zu wissen.

Auf jeden Fall weiß ich erstmal, dass ich noch etwas Luft nach oben habe, mit 1000 Gruppenmitgliedschaften :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...