Berechtigungskonzept File Server

[ChrisSu 0]

Hallo zusammen,

 

ich lese viel hier im Forum und finde immer wieder ein paar nützliche Tipps.

Nun aber stehe ich vor einem kleinen Problem und würde gerne wissen ob es hier auch ein paar Kniffe gibt die man einsetzen kann.

 

Prinzipiell haben wir bei unserem File Server so weit es geht eine flache Struktur. Das heißt ich habe z.b. einen Ordner "Firma" auf dem alle User das Recht haben die Ordner aufzulisten.

Danach habe ich pro Ordner 2 Lokale Gruppen (Read und ReadWrite) für die Berechtigung und 2 Globale Gruppen für die User. In den erweiterten Sicherheitseinstellungen habe ich der Lokalen Gruppe ReadWrite das Recht den Ordner zu löschen entzogen, damit das versehentliche Löschen unterbunden wird.

Dies funktioniert soweit auch sehr gut.

 

Aktuell bekomme ich einige Anfragen bezüglich einer weiteren untergeordneten Berechtigungsebene.

Im Prinzip sollte es am Ende wie folgt aussehen:

 

Firma (Auflisten)

-Ordner_1 (L_Ordner_1_RW, L_Ordner_1_L)

--Unterordner (L_Unterordner_RW, L_Unterordner_L)

---Unterunterordner (L_Unterunterordner_RW)

-Ordner_2 (L_Ordner_2_RW)

 

Mein Ansatz war der folgende:

Ich erstelle, um die Navigation zu den Ordner sicher zu stellen, Listgruppen (*_L). Diese haben nur auf den jeweiligen Ordner das Recht Ordner aufzulisten. Die Globalen Gruppe sind dementsprechend untereinander zugeordnet.

Dadurch reicht es wenn ich einen User z.b. in die Gruppe G_Unterunterordner_RW zuweise dass er in den entsprechenden Ordner navigieren kann und die Änderungsberechtigung besitzt.

 

Nun zu meiner eigentlichen Frage:

Ein User der der Gruppe G_Ordner_1_RW angehört hat natürlich Vollzugriff auf diesen und alle weiteren untergeodneten Ordner. Das Problem (zumindest für mich) ist, dass der User nun theoretisch auch das Recht hat den Ordner Unterunterordner zu löschen. Logisch, da ja diese Berechtigung vererbt wird.

Wenn nun ein User den Unterunterordner löscht, weil er z.b. nicht mehr benötigt wird, habe ich verwaiste Gruppe im AD. Gibt es hier eine Möglichkeit das Löschen für diesen Ordner zu unterbinden?

Oder gibt es eine ganz andere Herangehensweise?

Ich glaube ich sehe den Wald vor lauter Bäumen nicht mehr :)

 

Vielen Dank und ich entschuldige mich schon einmal im Voraus für den vielen Text

 

Grüße

 

[zahni 550]

Hallo und willkommen im Forum.

 

Ich habe versucht zu verstehen, was Du  erreichen willst, verstehe aber nur  Bahnhof. Vielleicht erklärst Du mal  wo Du hin willst  und nicht wie Du  es implementiert hast.

Generell soll man Berechtigungen nur auf max. 2 Ebenen vergeben. Von komplizierten Rechten nur Ordnern, um ein  "versehentliches" Löschen zu verhindern, würde ich abraten.

Auf  der  Freigabe kann man ABE aktivieren. Dann sehen User nur die Verzeichnisse, aus die sie Zugriff haben. 

 

 

[lefg 276]

Zitat

Gibt es hier eine Möglichkeit das Löschen für diesen Ordner zu unterbinden?

 

Moin

 

Löschen verweigern?

[ChrisSu 0]

Hallo,

 

das habe ich mir schon gedacht dass ich mich zu umständlich ausgedrückt habe.

 

WIr benötigen eine Ordnerstruktur von 2 bis maximal 3 Ebenen. In der zweiten Ebene soll eine weitere Gruppe nur auf einen Ordner Zugriff haben.

 

Beispiel:

Ordner_1

-Unterordner_2

-Unterordner_3

 

ABE ist bereits aktiviert.

Gruppe A hat Vollzugriff auf Ordner_1. Durch die Vererbung hat Sie natürlich auch die entsprechende Rechte auf die Unterordner.

Gruppe B soll nur Vollzugriff auf Unterordner_3 erhalten. Hierzu vergebe ich die entsprechende Rechte. Damit Gruppe B auch zu diesem Ordner navigieren kann, muss ich die Listrechte für Gruppe B dem Ordner_1 hinzufügen.

Soweit wäre alles in Ordnung und es würde funktionieren.

 

Ein Problem wäre jetzt wenn Gruppe A den Unterordner_3 löschen würde. Wenn wir das nicht mitbekommen, habe ich irgendwann ein paar Gruppen-Leichen im AD.

Ein Lösungsweg wäre, indem ich die Vererbung auf den Unterordner_3 deaktivieren würde und der Gruppe A die entsprechende Rechte geben würde, dass Sie zwar Vollzugriff auf die weiteren Unterordner haben, aber kein Löschrecht auf den Unterordner_3.

 

Nun ist es ja so, dass die Unterbrechung der Vererbung nicht gerade schön ist.

 

Jetzt ist meine Frage ob es vielleicht noch einen anderen Weg gibt wie man so etwas lösen könnte.

Vererbung unterbrechen oder nehmt ihr es in Kauf dass die Unterordner gelöscht werden können?

 

Ich hoffe es ist jetzt ein bisschen verständlicher :)

 

Danke

[lefg 276]

Zitat

Nun ist es ja so, dass die Unterbrechung der Vererbung nicht gerade schön ist.

Nee, was hat das mit unschön zu tun? Das Unterbrechen der Vererbung ist ein ganz normales Vorgehen.

 

Falls ich richtig verstanden, ist das bisherige Vorgehen wollen doch von hinten durch die Brust ins Auge.

 

Man halte die Sache einfach, übersichtlich, nachvollziehbar!

bearbeitet 25. Januar 2018 von lefg

[NorbertFe 2.027]

Normal? Eher die Ausnahme innerhalb der Struktur. Zumindest in denen die ich kenne.

[magheinz 110]

Bei uns wird auch die Vererbung unterbrochen.

Wir kommen von Novell-fileservern und die Berechtigungen liessen sich nicht anders übernehmen.

[NorbertFe 2.027]

Das heißt ja nicht, dass es „gut“ wäre, sondern dass man eine Technologie notgedrungen von einer anderen Plattform adaptiert hat. ;) ein bmw Motor passt sicher auch irgendwie in einen VW, aber ob’s sinnvoll ist?

[magheinz 110]

tja, wie wende man sonst AGDLP an wenn man in tieferliegenden Verzeichnissen einer Person weniger Rechte geben möchte ala in den höher liegenden? Das MS-Prinzip funktioniert halt nur wenn man die Rechte erweitert, je tiefer man kommt.

[NorbertFe 2.027]

Naja es gibt immer noch "verweigern" Rechte. ;) Was davon dann sinnvoller ist, oder ob es überhaupt sinnvoll ist eine Struktur zu übernehmen, die eben nur mit Kompromissen umsetzbar ist, wäre zu diskutieren.

[magheinz 110]

glaub mir, das wurde disskutiert...

[NorbertFe 2.027]

Ich weiß. :p

[speer 19]

Also ich würde im Ordner_1 das Browsen für alle aktivieren. Die darunterliegenden Unterordner entsprechend den Gruppen berechtigen.

Mir wären es zu viele Klimmzüge im Fall, dass Gruppe A auf Unterordner 3 plötzlich keinen Vollzugriff benötigt bzw. angepaßte Berechtigungen erhält.

Zudem büßt man sich mit obiger Konstellation sehr viel flexibilität der NTFS Berechtigungsmechanismen ein.

In diesem Zuge würde ich für Unterordner 3 die Überwachung aktivieren (falls Betrieb es erlaubt) und darauf ein Monitoringtool triggern bei Änderungen durch Gruppe A.

 

bearbeitet 4. Februar 2018 von speer

[ChrisSu 0]

Hallo,

nach längerem hin und her werde ich die Vererbung an dieser Stelle unterbrechen und so die nötigen Berechtigungen setzen. Leider bleibt mir an dieser Stelle keine andere Wahl.

Dann muss es eben in der Dokumentation genau beschrieben werden.

 

Vielen Dank für die Antworten.

[magheinz 110]

Wie bildet Ihr denn sonst so Strukturen ab wie

Ablage

|

Abteilung1

|          |

FB1     FB2

 

 

In FB1 sollen nur die MItarbeiter aus Fachbereich1 und in FB2 die aus Fachbereich2 Zugriff haben.

Unter Novell hat man einfach die Rechte in FB1 und FB2 gesetzt. Dasd Recht sich durch den Baum zu hangeln ist automatisch nach oben "vererbt" worden.

Unter NTFS muss ich in Ablage und Abteilung ein Leserecht "nur für diesen Ordner" vergeben, Dann kann ich die Schreibberechtigte Gruppe in FB1 zum Mitglied der leseberechtigten Gruppe in Abteilung1 machen. Ohne die Vererbung zu unterbrechen klappt das nicht.

 

Lasst mich raten: solche Strukturen baut man nicht in NTFS-Systemen...