kaineanung 14 Geschrieben 4. Dezember 2019 Autor Melden Teilen Geschrieben 4. Dezember 2019 @Dukel Meinst du damit dann ich habe ein T3-Ordner für das ganze Team3 und jeder, egal ob T3 (Teamleiter), T3K1 (Koordinator), TGL301 (Gruppenleiter) oder T301 (Gruppenmitglieder) darf darin frei machen was er will? Dann sehen ja alle alles und dürfen alles drinn machen sofern sie alle den gleichen Teamleiter haben? Also so in etwa: Root | T3 <-- Einstieg aller Mitglieder in der T3-Gruppe (T3, T3K1, TGL301, T301->T3x-Gruppe), änderbar ebenfalls für alle T3x-Gruppenmitglieder. Alle anderen sehen den Ordnern nicht. |-- T3K1 | | | TGL301 | |-- T301 | TGL302 | |-- T302 | |-- T3K2 | | | TGL321 | |-- T321 | TGL323 | |-- T323 | |-- usw. T2 <-- Einstieg aller Mitglieder in der T2-Gruppe (T2, T2K1, TGL201, T201->T2x-Gruppe), änderbar ebenfalls für alle T2x-Gruppenmitglieder. Alle anderen sehen den Ordnern nicht. | |-- usw. T6 |-- usw. usw. | T5 Der Nachteil: jede Gruppe ist 'offen' für die nebenstehende Gruppe. Dateien können eingesehen werden und, was nocht schlimmeri st, können verändert oder gelöscht werden. Nein, das kann nicht der Sinn des ganzen sein. Oder? Oder meint ihr so das die Berechtigungen schon bestehen bleiben sollen und nur die Einstiegspunkte eben nicht in der entsprechenden Ebene sein soll sondern z.B. für alle T3x-Mitglieder in T3 und jeder darf nur Ordner auflisten ausser in seinem eigentlichen Ordner? Also in etwa so: Root | T3 <-- Einstieg aller T3x (Also T3 (Teamleiter), T3K1 (Koordinator), TGL301 (Gruppenleiter), T301 (Gruppe)). |-- T3K1 <-- Ordner (ohne Inhalte) sichtbar für ganze T3x-Gruppe, änderbar nur für T3 + T3K1. | | | TGL301 <-- Ordner (ohne Inhalte) sichtbar für ganze T3x-Gruppe, änderbar nur für T3 + T3K1 + TGL301. | |-- T301 <-- Ordner (ohne Inhalte) sichtbar für ganze T3x-Gruppe, änderbar für T3 + T3K1 + TGL301 + T301 (also alle T3x) | TGL302 | |-- T302 | |-- T3K2 | | | TGL321 | |-- T321 | TGL323 | |-- T323 | |-- usw. T2 <-- Einstieg aller T2x (Also T2 (Teamleiter), T2K1 (Koordinator), TGL201 (Gruppenleiter), T201 (Gruppe)). | |-- usw. T6 |-- usw. usw. | T5 Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 (bearbeitet) Am einfachsten ist es, wenn es z.B. je einen Ordner Tx (z.B. T3) gibt und (mit einem entsprechenden Gruppenkonzept) alle User der Abteilung Tx (z.B. T3) in diesem Ordner lesen und schreiben dürfen. Andere Abteilungen dürfen nach Bedarf (Anforderungen der Abteilungen!) nur Lesen, schreiben und lesen oder haben keinen Zugriff. Z.b. im Ordner Marketing dürfen alle Abteilungen lesen, die Abteilung Vertrieb lesen und schreiben. Im Ordner Vertrieb darf nur der Vertrieb lesen und schreiben und kein anderer darf dort hinein. Alles darunter (z.B. T3K1, TGL301,...) brauchst du im einfachsten Fall nicht. Wenn die Abteilungen das wollen, können Sie diese Struktur einbinden (Aber keine Rechte darauf setzen!). Wenn die Abteilungen diese Anforderung haben, dass das Fein Granularer sein soll, dann macht man ein entsprechendes Konzept mit einer Ebene mehr. Wenn es andere Anforderungen gibt (spezielle Ordner für Projekte, für bestimmte Management Gruppen,...) kann man das Erweitern oder paralell dazu aufbauen. Gibt es denn Anforderungen von den Abteilungen? bearbeitet 4. Dezember 2019 von Dukel Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 4. Dezember 2019 Autor Melden Teilen Geschrieben 4. Dezember 2019 vor 9 Minuten schrieb Dukel: Gibt es denn Anforderungen von den Abteilungen? Ehrlich gesagt: ich weiß es nicht. Ich weiß was wir bisher haben. Ich weiß daß ich sowas in der Art wie du beschrieben hast (siehe meine Konzept 'Projektordner') angedacht habe. Ich habe meinen Vorgesetzten überzeugt das wir das ändern sollten. Jetzt will er daß ich ein Testserver aufstelle und nächste Woche ihm zeige. Dann kam noch der Satz 'ja so wie du es damals gemeint hast die ganzen Gruppenordner flach nebeneinander' -> er hat mich missverstanden aber ich habe mich daduch auch beirren lassen. Ich muss, und das ist mir wieder klar geworden, WEG von den Gruppenordner bis runter zu den einzelnen Gruppen. ABER: leichter gesagt als getan. Wir haben z.B. Gleitzeitkonten der Gruppen in einer automatisch befüllten Excel die in jeglichen Gruppen gleich heisst. Somit können die 1. nicht im gleichen Ordner sein und 2. soll nur der Gruppenleiter, sein Koordinator und der Teamleiter das einsehen können und kein anderer Koordinator oder Gruppenleiter -> das ist nur EIN Beispiel von vielen und das was mir als erstes eingefallen ist. Ich denke das wir diese Anforderung haben das es 'Granularer' ausfällt. Ich tapse aber gerade im Dunkeln wie das auszusehen hat ausser so wie wir es bisher hatten. Dein Konzept wäre also folgendes: Root | T3 <-- Einstieg aller T3x (Also T3 (Teamleiter), T3K1 (Koordinator), TGL301 (Gruppenleiter), T301 (Gruppe)). Und ALLE Tx-Gruppenmitglieder (T3, T3K1, TGL301 und T301 dürfen lesen, schreiben und ändern. |-- T3K1 <-- entfällt | | | TGL301 <-- entfällt | |-- T301 <-- entfällt | TGL302 <-- entfällt | |-- T302 <-- entfällt | |-- T3K2 <-- entfällt | | | TGL321 <-- entfällt | |-- T321 <-- entfällt | TGL323 <-- entfällt | |-- T323 <-- entfällt | |-- usw. T2 <-- Einstieg aller T3x (Also T3 (Teamleiter), T3K1 (Koordinator), TGL301 (Gruppenleiter), T301 (Gruppe)). Und ALLE Tx-Gruppenmitglieder (T3, T3K1, TGL301 und T301 dürfen lesen, schreiben und ändern. | |-- usw. usw. | Marketing <- Einstieg der Marketing-Gruppe (Also Gruppenleiter + Gruppe). Und ALLE MArketing-Gruppenmitglieder dürfen lesen, schreiben und ändern. | (Marketing ist jedoch eine Gruppe unter einer der Teams und hat ebenfalls einen Koordinator und somit wird es statt 'Marketing' eben ein T8 als Beispiel) Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 Überlege dir wer braucht wo unterschiedliche Rechte und trenne da. Wenn es unterschiedliche Gruppen gibt (Tx) und jeweils ein Gruppenmanagement (Gruppenleiter, Teamleiter, Koordinator), dann würde ich das auch so aufteilen. Entweder Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 - - T4 Mgmt - - T4 Daten ... oder Root - T3 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T3 - T3 Daten -> Zugriff lesen, schreiben für Alle aus T3 - T4 Mgmt - T4 Daten ... Dann brauchst du noch ein gescheites Gruppenkonzept. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 4. Dezember 2019 Autor Melden Teilen Geschrieben 4. Dezember 2019 @Dukel Danke für das bebilderte Erklären. Beugt dem 'aneinander vorbei sprechen' vor ;) Ich melde mich morgen wieder um deteilierter nachzuhaken. Aber vorab: dieses Konzept bietet keine Abgeschottete Verzeichnisse für die einzelnen Gruppen-Stänge als auch Hierarchien. Beispiel was ich mit 'Gruppen-Stränge' meine: Der Gruppenleiter der T301-Gruppe, also TGL301 nutzt den gleichen Ordner wie der Gruppenleiter der Gruppe T302, also TGL302. Beide nutzen den Ornder T3-Mgmt und können sich so gegenseitig ins Handwerk 'pfuschen'. Beispiel was ich mit Hierarchie meine: Der Teamleiter nutzt den gleichen Ordner wie seine Untergegeben Koordinatoren und deren Untergebene Gruppenleiter. Der Gruppenleiter kann Daten des Teamleiters einsehen und, manipulieren und löschen. Ist das so in dieser 'flachen' Organisation normal? Wo speichert der Teamleiter die Abmahnungen die er verteilt hat und die niemanden was angehen? Blödes Beispiel, aber eines von vielen die mehr oder weniger sinniger wären.. Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 Wenn die Anforderungen bestehen, macht man mehr Ebenen! T301 und T302 sind Teams, die zur gleichen Gruppen gehören? Root - T3 - - T3 Mgmt -> Zugriff lesen, schreiben für Management (Gruppenleiter? und Koordinator?) von T3 - - T301 - - - T301 Mgmt -> Zugriff lesen, schreiben für Teamleiter, Gruppenleiter, Korrdinator von T301 - - - T301 Daten -> Zugriff lesen, schreiben für Alle aus T301 - - T302 - - - T302 Mgmt - - - T302 Daten ... Diese 2-3 Ebenen sind eine Empfelung. Sollte evtl. eher ein "so wenig wie möglich, so viele wie nötig" sein. Bei vielen Organisationen sind eben 2-3 Ebenen so viel wie nötigt. Was ich aber in jedem fall machen würde, die Management Ordner parallel anordnen. Da ist das mit den ACLs einfacher. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 Man sollte sich von so starren Regeln nicht verrückt machen lassen. So eine Umgebung ist so einfach zu gestalten wie möglich, aber nunmal auch so komplex wie nötig. Es kann dann auch sein dass man 10 Ebenen tief die Rechte verwalten muss. Nur weil das bei 99,9% der Firmen nicht nötig ist bedeutet das noch lange nicht, daß man selber nicht die fehlenden 0,1% darstellt. Genau so gilt das eigentlich für das ganze Leben, nicht nur für fileserver Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 vor 21 Stunden schrieb NorbertFe: Warst du das nicht mit need to know? ;) Bin ich immer noch. Das war nur ein Aspekt meiner vielschichtigen Persönlichkeit Persönlich bin ich für freie Informationen, beruflich weiß ich, daß das nicht geht. Aber da sind Fileserver auch eher obsolet, das organisiert jede Community für sich. Bzw. der jeweilige Dateneigner, wie das bei uns heißt. Wenn der nen Share will, bestellt er sich einen. Wenn er's in nen Webservice legen will, legt er's halt dahin. Und dazu haben wir dann noch den EINEN organigramm-basierten Standard-Freigabebaum. Auf dem liegt aber zumindest bei uns nur noch sehr wenig aktuelles. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 4. Dezember 2019 Melden Teilen Geschrieben 4. Dezember 2019 Oft kann man Filesystemeablagen auch durch ein ordentliches Dokumentenmanagementsystem ersetzen. Hier wären dann ganz andere Rechtestrukturen möglich. Windows mit NTFS ist da leider etwas eingeschränkt und kompliziert. Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 5. Dezember 2019 Autor Melden Teilen Geschrieben 5. Dezember 2019 vor 16 Stunden schrieb Dukel: Wenn die Anforderungen bestehen, macht man mehr Ebenen! T301 und T302 sind Teams, die zur gleichen Gruppen gehören? Wir nennen es andersherum aber ja, so ist es. T301 und T302 sind Gruppen die zum gleichen Team (T3) gehören. vor 16 Stunden schrieb Dukel: Diese 2-3 Ebenen sind eine Empfelung. Sollte evtl. eher ein "so wenig wie möglich, so viele wie nötig" sein. Bei vielen Organisationen sind eben 2-3 Ebenen so viel wie nötigt. Was ich aber in jedem fall machen würde, die Management Ordner parallel anordnen. Da ist das mit den ACLs einfacher. Diesen Vorschlag werde ich jetzt auf einen Fileserver für das komplette Team3 abbilden (mit allen enthaltenen Gruppen) und werde dies nächste Woche meinem Vorgesetzten präsentieren damit er es dann bei den Chefs präsentieren kann. Dazu muss ich aber vorbereitet sein und daher frage ich einfach mal: 1. Die Benutzer bekommen deren Gruppe entsprechend dann den Gruppenordner (z.B. T301) gemappt. Das Management sieht auch den Mgmt-Ordner, die Anderen nur den Daten-Ordner. Oder mappe ich den Datenordner den Anderen direkt (somit sparen Sie sich immer einen Ordner (z.B. T301 Daten) zu öffnen) und nur dem Management den darüber liegenden Ordner (weil die ja in beide Ordner rein dürfen)? 2. Was sind ACLs genau ausser das sie Access Conrol List heissen? Ich meine wenn ich auf Dateiebene die Rechte vergebe ist das dann was genau? und wo sind dann die ACLs und wie nutze ich diese und wieso sind die 'genauer' als das 'normale' Vorgehen (Dateiebene->Kontextmenü->Sicherheit->Rechte vergeben)? 3. Was meinst du mit dem 'Management-Ordner Parallel anlegen'? Managementordner in jedem Gruppenordner und Teamordner als Unterordner anlegen? Kannst du mir sagen was da dann genau einfacher ist mit ACL ist? Dabei sind wir aber wieder bei Punkt 2. Was sind ACLs? 4. Was sind die Vorteile allgemein im Vergleich zu der Dateistruktur nach dem Organigram der Firma? Das wird mich der Vorgesetzte 1000% Fragen. Ich bin mir nicht sicher bis auf daß wenn sich Gruppen ändern (z.B. einem anderen Koordinator unterstellt werden) müssen wir nichts mehr auf Dateiebene machen sondern nur in der Rechteverwaltung. Das passiert aber nicht so oft und daher brauche ich mehr als nur diesen Vorteil... vor 16 Stunden schrieb magheinz: an sollte sich von so starren Regeln nicht verrückt machen lassen. So eine Umgebung ist so einfach zu gestalten wie möglich, aber nunmal auch so komplex wie nötig. Es kann dann auch sein dass man 10 Ebenen tief die Rechte verwalten muss. Nur weil das bei 99,9% der Firmen nicht nötig ist bedeutet das noch lange nicht, daß man selber nicht die fehlenden 0,1% darstellt. Genau so gilt das eigentlich für das ganze Leben, nicht nur für fileserver Ich wurde in der Vergangenheit hier ein paar mal darauf hingewiesen daß das verrückt ist was wir machen mit dem Firmen-Organigramm auf dem Dateiserver. Ich würde sehr gerne wissen was der Vorteil ist weg vom Organigramm zu gehen und wenn das geklärt ist sind wir bereit dies durchzuziehen. Ich muss es nur begründen können was die 99,9% der Firmen besser machen weil sie weg vom Organigramm sind und nur noch 2-3 Ebenen statt 5-6 (Rechte-) Ebenen haben. Wir haben einen Chef, einen Teamleiter pro Tem, darunter 0-n Koordinatoren pro Team, darunter einen Gruppenleiter und darunter die Gruppe. Alleine das sind schon 5 Rechteebenen... Ich denke da kann man sich bissl was einsparen. Will ich auch. Ich brauche nur Munition wie ich das begründen soll... Also, falls dir auch was einfällt: schiess los ;) vor 12 Stunden schrieb magheinz: Oft kann man Filesystemeablagen auch durch ein ordentliches Dokumentenmanagementsystem ersetzen. Hier wären dann ganz andere Rechtestrukturen möglich. Windows mit NTFS ist da leider etwas eingeschränkt und kompliziert. Meinst du damit ein Dokumenten-Archivierungssystem? Wirst du sicherlich nicht meinen da dies unpraktikabel wäre. Problem ist: nicht alles sind Dokumente die da rumliegen. Dann müssen Sie auch schnell und einfach bearbeitbar sein (z.B. Excel). Das Dokumentensystem was wir benutzen ist teil unseres ERPs und dient nur dazu tatsächliche Dokumente zu speichern und zu archivieren. Ausserdem nutzen wir das was wir jetzt haben statt nochmals viel Geld für neue Systeme auszugeben die bei den meisten Usern dann auch sicherlich auf Ablehnung stößen würde... Aber Danke für neue Ideen! Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 1 minute ago, kaineanung said: 1. Die Benutzer bekommen deren Gruppe entsprechend dann den Gruppenordner (z.B. T301) gemappt. Das Management sieht auch den Mgmt-Ordner, die Anderen nur den Daten-Ordner. Oder mappe ich den Datenordner den Anderen direkt (somit sparen Sie sich immer einen Ordner (z.B. T301 Daten) zu öffnen) und nur dem Management den darüber liegenden Ordner (weil die ja in beide Ordner rein dürfen)? Die Benutzer bekommen am besten den Root gemappt und müssen sich durchklicken (T3, T301, T301 Daten). Mit ABE sehen die Benutzer nur diese Ordner, in die Sie auch Zugriff haben. Du musst dann nur ein Mapping machen und nicht für jede Gruppe ein eigenes Mapping. 1 minute ago, kaineanung said: 2. Was sind ACLs genau ausser das sie Access Conrol List heissen? Ich meine wenn ich auf Dateiebene die Rechte vergebe ist das dann was genau? und wo sind dann die ACLs und wie nutze ich diese und wieso sind die 'genauer' als das 'normale' Vorgehen (Dateiebene->Kontextmenü->Sicherheit->Rechte vergeben)? ACL sind die Rechte. 1 minute ago, kaineanung said: 3. Was meinst du mit dem 'Management-Ordner Parallel anlegen'? Managementordner in jedem Gruppenordner und Teamordner als Unterordner anlegen? Kannst du mir sagen was da dann genau einfacher ist mit ACL ist? Dabei sind wir aber wieder bei Punkt 2. Was sind ACLs? Wie oben grafisch dargestellt. Unter T301 gibt es parallel einen Management Ordner (für das Team / Gruppen management = Team-, Gruppenleiter) und einen Daten Ordner (für das Team selbst). 1 minute ago, kaineanung said: 4. Was sind die Vorteile allgemein im Vergleich zu der Dateistruktur nach dem Organigram der Firma? Das wird mich der Vorgesetzte 1000% Fragen. Ich bin mir nicht sicher bis auf daß wenn sich Gruppen ändern (z.B. einem anderen Koordinator unterstellt werden) müssen wir nichts mehr auf Dateiebene machen sondern nur in der Rechteverwaltung. Das passiert aber nicht so oft und daher brauche ich mehr als nur diesen Vorteil... Im Prinzip wird bei meinem Beispiel die Organisation abgebildet. Es gibt die Ebenen T3, T301. Bei Änderungen musst du nur die Mitglieder der Gruppen anpassen und nicht die Rechte. Das kann (je nach Datenmenge) sehr lange dauern und wird beim Backup ein Full Backup daraus machen statt eines Increments, weil sich die Rechte ändern. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 (bearbeitet) vor 41 Minuten schrieb Dukel: ACL sind die Rechte. In der Access Control List des Objektes -Ordner oder Datei -, ist diese erreichbar unter dessen Schalter Eigenschaften, sind die Berechtigungen für Zugriffe darauf und Beschränkungen(Verweigern) eingetragen. Nach meiner Erfahrung, jedenfalls in meinen damaligen Feldern blieb die Option Verweigern unbeachtet. bearbeitet 5. Dezember 2019 von lefg Zitieren Link zu diesem Kommentar
Dukel 451 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 Just now, lefg said: In der Access Control List des Objektes -Ordner oder Datei -, diese erreichbar unter dessen Schalter Eigenschaften, sind die Berechtigungen für Zugriffe darauf und und Beschränkungen(Verweigern) eingetragen. Sprich die Rechte des Objects... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 (bearbeitet) vor 14 Minuten schrieb Dukel: Sprich die Rechte des Objects... Ich möchte es etwas preziser formulieren Nicht das Objekt -Ordner oder Datei- hat Rechte sondern Gruppen oder User haben Berechtigungen auf das Objekt oder nicht. Nämlich (keine) Berechtigungen auf das Objekt: Zugriff gestatten, Zugriff ausdrücklich verweigern. Wobei verweigern wohl vorrangig ist. bearbeitet 5. Dezember 2019 von lefg 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 vor einer Stunde schrieb kaineanung: Meinst du damit ein Dokumenten-Archivierungssystem? Wirst du sicherlich nicht meinen da dies unpraktikabel wäre. Nein, Ein DMS=DokumentenManagementSystem, kein Archiv. In einem Archiv sind die Dateien ja nicht mehr veränderbar. In dem meisten DMS kann man die Dokumente direkt bearbeiten, hat eine Versionierung und kann granulare Rechte verwalten. Oft kann man auch gleich Prozesse wie Freigabe etc darüber ermöglichen. Ich will dir nicht zu nahe treten: aber könnte es sein, dass dich diese Aufgabe ziemlich überfordert? Hast du die Möglichkeit einen Dienstleister hinzu zu ziehen? Das sind ja teilweise Fragen die man nur Beantworten kann wenn man deutlich mehr Einblick bei euch hat. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.