ChrisSu 0 Geschrieben 23. Januar 2018 Melden Teilen Geschrieben 23. Januar 2018 Hallo zusammen, ich lese viel hier im Forum und finde immer wieder ein paar nützliche Tipps. Nun aber stehe ich vor einem kleinen Problem und würde gerne wissen ob es hier auch ein paar Kniffe gibt die man einsetzen kann. Prinzipiell haben wir bei unserem File Server so weit es geht eine flache Struktur. Das heißt ich habe z.b. einen Ordner "Firma" auf dem alle User das Recht haben die Ordner aufzulisten. Danach habe ich pro Ordner 2 Lokale Gruppen (Read und ReadWrite) für die Berechtigung und 2 Globale Gruppen für die User. In den erweiterten Sicherheitseinstellungen habe ich der Lokalen Gruppe ReadWrite das Recht den Ordner zu löschen entzogen, damit das versehentliche Löschen unterbunden wird. Dies funktioniert soweit auch sehr gut. Aktuell bekomme ich einige Anfragen bezüglich einer weiteren untergeordneten Berechtigungsebene. Im Prinzip sollte es am Ende wie folgt aussehen: Firma (Auflisten) -Ordner_1 (L_Ordner_1_RW, L_Ordner_1_L) --Unterordner (L_Unterordner_RW, L_Unterordner_L) ---Unterunterordner (L_Unterunterordner_RW) -Ordner_2 (L_Ordner_2_RW) Mein Ansatz war der folgende: Ich erstelle, um die Navigation zu den Ordner sicher zu stellen, Listgruppen (*_L). Diese haben nur auf den jeweiligen Ordner das Recht Ordner aufzulisten. Die Globalen Gruppe sind dementsprechend untereinander zugeordnet. Dadurch reicht es wenn ich einen User z.b. in die Gruppe G_Unterunterordner_RW zuweise dass er in den entsprechenden Ordner navigieren kann und die Änderungsberechtigung besitzt. Nun zu meiner eigentlichen Frage: Ein User der der Gruppe G_Ordner_1_RW angehört hat natürlich Vollzugriff auf diesen und alle weiteren untergeodneten Ordner. Das Problem (zumindest für mich) ist, dass der User nun theoretisch auch das Recht hat den Ordner Unterunterordner zu löschen. Logisch, da ja diese Berechtigung vererbt wird. Wenn nun ein User den Unterunterordner löscht, weil er z.b. nicht mehr benötigt wird, habe ich verwaiste Gruppe im AD. Gibt es hier eine Möglichkeit das Löschen für diesen Ordner zu unterbinden? Oder gibt es eine ganz andere Herangehensweise? Ich glaube ich sehe den Wald vor lauter Bäumen nicht mehr :) Vielen Dank und ich entschuldige mich schon einmal im Voraus für den vielen Text Grüße 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 24. Januar 2018 Melden Teilen Geschrieben 24. Januar 2018 Hallo und willkommen im Forum. Ich habe versucht zu verstehen, was Du erreichen willst, verstehe aber nur Bahnhof. Vielleicht erklärst Du mal wo Du hin willst und nicht wie Du es implementiert hast. Generell soll man Berechtigungen nur auf max. 2 Ebenen vergeben. Von komplizierten Rechten nur Ordnern, um ein "versehentliches" Löschen zu verhindern, würde ich abraten. Auf der Freigabe kann man ABE aktivieren. Dann sehen User nur die Verzeichnisse, aus die sie Zugriff haben. 1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Januar 2018 Melden Teilen Geschrieben 24. Januar 2018 Zitat Gibt es hier eine Möglichkeit das Löschen für diesen Ordner zu unterbinden? Moin Löschen verweigern? Zitieren Link zu diesem Kommentar
ChrisSu 0 Geschrieben 25. Januar 2018 Autor Melden Teilen Geschrieben 25. Januar 2018 Hallo, das habe ich mir schon gedacht dass ich mich zu umständlich ausgedrückt habe. WIr benötigen eine Ordnerstruktur von 2 bis maximal 3 Ebenen. In der zweiten Ebene soll eine weitere Gruppe nur auf einen Ordner Zugriff haben. Beispiel: Ordner_1 -Unterordner_2 -Unterordner_3 ABE ist bereits aktiviert. Gruppe A hat Vollzugriff auf Ordner_1. Durch die Vererbung hat Sie natürlich auch die entsprechende Rechte auf die Unterordner. Gruppe B soll nur Vollzugriff auf Unterordner_3 erhalten. Hierzu vergebe ich die entsprechende Rechte. Damit Gruppe B auch zu diesem Ordner navigieren kann, muss ich die Listrechte für Gruppe B dem Ordner_1 hinzufügen. Soweit wäre alles in Ordnung und es würde funktionieren. Ein Problem wäre jetzt wenn Gruppe A den Unterordner_3 löschen würde. Wenn wir das nicht mitbekommen, habe ich irgendwann ein paar Gruppen-Leichen im AD. Ein Lösungsweg wäre, indem ich die Vererbung auf den Unterordner_3 deaktivieren würde und der Gruppe A die entsprechende Rechte geben würde, dass Sie zwar Vollzugriff auf die weiteren Unterordner haben, aber kein Löschrecht auf den Unterordner_3. Nun ist es ja so, dass die Unterbrechung der Vererbung nicht gerade schön ist. Jetzt ist meine Frage ob es vielleicht noch einen anderen Weg gibt wie man so etwas lösen könnte. Vererbung unterbrechen oder nehmt ihr es in Kauf dass die Unterordner gelöscht werden können? Ich hoffe es ist jetzt ein bisschen verständlicher :) Danke Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 25. Januar 2018 Melden Teilen Geschrieben 25. Januar 2018 (bearbeitet) Zitat Nun ist es ja so, dass die Unterbrechung der Vererbung nicht gerade schön ist. Nee, was hat das mit unschön zu tun? Das Unterbrechen der Vererbung ist ein ganz normales Vorgehen. Falls ich richtig verstanden, ist das bisherige Vorgehen wollen doch von hinten durch die Brust ins Auge. Man halte die Sache einfach, übersichtlich, nachvollziehbar! bearbeitet 25. Januar 2018 von lefg 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 Normal? Eher die Ausnahme innerhalb der Struktur. Zumindest in denen die ich kenne. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 Bei uns wird auch die Vererbung unterbrochen. Wir kommen von Novell-fileservern und die Berechtigungen liessen sich nicht anders übernehmen. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 Das heißt ja nicht, dass es „gut“ wäre, sondern dass man eine Technologie notgedrungen von einer anderen Plattform adaptiert hat. ;) ein bmw Motor passt sicher auch irgendwie in einen VW, aber ob’s sinnvoll ist? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 tja, wie wende man sonst AGDLP an wenn man in tieferliegenden Verzeichnissen einer Person weniger Rechte geben möchte ala in den höher liegenden? Das MS-Prinzip funktioniert halt nur wenn man die Rechte erweitert, je tiefer man kommt. 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 Naja es gibt immer noch "verweigern" Rechte. ;) Was davon dann sinnvoller ist, oder ob es überhaupt sinnvoll ist eine Struktur zu übernehmen, die eben nur mit Kompromissen umsetzbar ist, wäre zu diskutieren. 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 glaub mir, das wurde disskutiert... Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 26. Januar 2018 Melden Teilen Geschrieben 26. Januar 2018 Ich weiß. :p Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 4. Februar 2018 Melden Teilen Geschrieben 4. Februar 2018 (bearbeitet) Also ich würde im Ordner_1 das Browsen für alle aktivieren. Die darunterliegenden Unterordner entsprechend den Gruppen berechtigen. Mir wären es zu viele Klimmzüge im Fall, dass Gruppe A auf Unterordner 3 plötzlich keinen Vollzugriff benötigt bzw. angepaßte Berechtigungen erhält. Zudem büßt man sich mit obiger Konstellation sehr viel flexibilität der NTFS Berechtigungsmechanismen ein. In diesem Zuge würde ich für Unterordner 3 die Überwachung aktivieren (falls Betrieb es erlaubt) und darauf ein Monitoringtool triggern bei Änderungen durch Gruppe A. bearbeitet 4. Februar 2018 von speer Zitieren Link zu diesem Kommentar
ChrisSu 0 Geschrieben 7. Februar 2018 Autor Melden Teilen Geschrieben 7. Februar 2018 Hallo, nach längerem hin und her werde ich die Vererbung an dieser Stelle unterbrechen und so die nötigen Berechtigungen setzen. Leider bleibt mir an dieser Stelle keine andere Wahl. Dann muss es eben in der Dokumentation genau beschrieben werden. Vielen Dank für die Antworten. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 7. Februar 2018 Melden Teilen Geschrieben 7. Februar 2018 Wie bildet Ihr denn sonst so Strukturen ab wie Ablage | Abteilung1 | | FB1 FB2 In FB1 sollen nur die MItarbeiter aus Fachbereich1 und in FB2 die aus Fachbereich2 Zugriff haben. Unter Novell hat man einfach die Rechte in FB1 und FB2 gesetzt. Dasd Recht sich durch den Baum zu hangeln ist automatisch nach oben "vererbt" worden. Unter NTFS muss ich in Ablage und Abteilung ein Leserecht "nur für diesen Ordner" vergeben, Dann kann ich die Schreibberechtigte Gruppe in FB1 zum Mitglied der leseberechtigten Gruppe in Abteilung1 machen. Ohne die Vererbung zu unterbrechen klappt das nicht. Lasst mich raten: solche Strukturen baut man nicht in NTFS-Systemen... 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.