kaineanung 14 Geschrieben 5. Dezember 2019 Autor Melden Teilen Geschrieben 5. Dezember 2019 Ok, also sind die ACL nicht irgendwo ein Zusatztool / Steuerungsdatei für die Rechte sondern das was wir alle auf em Fileserver sonst auch machen: Rechte Maustaste -> Kontextmenü -> Sicherheit Das nennt man ACL. Ich habe mir da ehrlich gesagt nie Gedenken gemacht wie das genannt wird. Jetzt weiß ich es ja... Danke euch vor 48 Minuten schrieb Dukel: Die Benutzer bekommen am besten den Root gemappt und müssen sich durchklicken (T3, T301, T301 Daten). Mit ABE sehen die Benutzer nur diese Ordner, in die Sie auch Zugriff haben. Du musst dann nur ein Mapping machen und nicht für jede Gruppe ein eigenes Mapping. Oh, ok, Stimmt ja. Das hatten wir in einem der vergangenen Thread so bereits erörtert. Wie war das nochmals? Mit dem ABE kann ich steuern das die Benutzer nur die Ordnerstruktur sieht auf denen er Berechtigung hat? Dann muss ich nicht manuell 'Ordner auflisten' Berechtigung entziehen sondern ABE macht das in etwa so: Benutzer hat keine Schreib-, Ändern- und Lesen-Berechtigung und somit darf er es auch nicht sehen? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 Genau. Das kannst du auch einfach testen. Bau dir die Demo Struktur auf. Lass ABE deaktiviert und schaue mit einem Test User drauf. Schalte ABE an und schaue dann mit dem selben User drauf. Hast du dir schon Gedanken über das (AD) Gruppen Konzept gedanken gemacht? Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 5. Dezember 2019 Autor Melden Teilen Geschrieben 5. Dezember 2019 vor 2 Minuten schrieb magheinz: Ich will dir nicht zu nahe treten: aber könnte es sein, dass dich diese Aufgabe ziemlich überfordert? Hast du die Möglichkeit einen Dienstleister hinzu zu ziehen? Das sind ja teilweise Fragen die man nur Beantworten kann wenn man deutlich mehr Einblick bei euch hat. Nein, denke ich nicht das mich das Überfordert. Ich mache das ja schon recht lange als Quereinsteiger von der Anwendungsentwicklung. Ich kenne nur die Begriffe nicht (ACL hätte ich als ein Template für Berechtigungsverwaltung einer beliebigen Struktur verstanden und dabei ist es so einfach..). Ich kenne mich auch in den'neuen Philosophien' nicht aus. Organigramm-Struktur ist das Einzige was ich kenne. Umsetzen sollte das aller kleinste Problem sein... vor 4 Minuten schrieb Dukel: Hast du dir schon Gedanken über das (AD) Gruppen Konzept gedanken gemacht? Wir würden die AD-Gruppen so übernehmen wie sie bereits sind. Die T3, T3K1, TGL301 und T301 sind jeweils auch AD-Gruppen die jedoch flach vorliegen. Die User sind dann Mitglieder einer dieser Gruppen und die Dateiberechtigung auf dem Fileserver beinhaltet ausschliesslich die Gruppen und keine Benutzer. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 6 minutes ago, kaineanung said: Wir würden die AD-Gruppen so übernehmen wie sie bereits sind. Die T3, T3K1, TGL301 und T301 sind jeweils auch AD-Gruppen die jedoch flach vorliegen. Die User sind dann Mitglieder einer dieser Gruppen und die Dateiberechtigung auf dem Fileserver beinhaltet ausschliesslich die Gruppen und keine Benutzer. Kennst du das AGDLP Prinzip? https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 (bearbeitet) vor 2 Stunden schrieb kaineanung: Die User sind dann Mitglieder einer dieser Gruppen Bei mir waren User Member mehrerer Sicherheitsgruppen. Die erste war für den obersten Ordner, hier im Thread Root, bei mir waren das die Ordner Niederlassung und JAW für die beiden Abteilungen, Zugriff darauf hatten jeweils die Sicherheitsgruppen Niederlassung und JAW. Als weiteres Beispiel bei JAW, in JAW die Ordner Leitung und Leitungsbüro, dazu die Sicherheitsgruppen Leitung und Leitungsbüro. Mitgieder der Sicherheitsgruppe Leitung waren namentlich der Leiter und der Leitungassistent. Mitglieder der Gruppe Leitungsbüro waren namentlich der Leiter, der Assistent, die Damen im Leitungsbüro. Später wurde die Sicherheitsgruppe Leitung Member in der Leitungsbüro. Auf den Ordner Leitung hatten als Member der Gruppe Leitung der Leiter und der Assistent. Auf den Ordner Leitungsbüro hatten Berechtigungen die Gruppen Leitung und Leitungsbüro. Bei Personalwechsel wurden die gehenden Member aus den Gruppen genommen und die kommenden hinzugefügt im Benutzerkonto. Die User waren also Member mehrerer Gruppen. Das nur als einfaches Beispiel aus einem Teil. Der Leiter und der Assis erhielten Netzlaufwerke auf die Ordner Leitung und Leitungsbüro. Die Damen ein Netzlaufwerk auf Leitungsbüro, erstmal, später erhielten sie auch Berechtigungen auf Leitung. Später musste ich doch schachteln, tricksen, der Leiter wollte unter Netzlaufwerk/Ordner Leitung den ganzen Baum sehen. ABE wurde verwendet. bearbeitet 5. Dezember 2019 von lefg Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 5. Dezember 2019 Autor Melden Teilen Geschrieben 5. Dezember 2019 vor 9 Minuten schrieb lefg: Bei mir waren User Member mehrerer Sicherheitsgruppen. Ja, sind sie natürlich auch bei mir hier. Ich habe jetzt allgemein sagen wollen daß keine User Berechtigungen haben sondern nur Gruppen und diese User sind dann eben Gruppenmitglieder. Und somit ist das ja so ungefähr das was du beschrieben hast. JAW ist was genau? Das sagt mir nämlich nichts... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 5. Dezember 2019 Melden Teilen Geschrieben 5. Dezember 2019 (bearbeitet) vor 12 Minuten schrieb kaineanung: JAW ist was genau? Das sagt mir nämlich nichts... Der Bereich hiess einst Jugendaufbauwerk. Es war Wunsche der Mitarbeiter die Bezeichnungen bezubehalten nach Umfirmierung auf JobB. Inzwischen heisst es wieder JAW. bearbeitet 5. Dezember 2019 von lefg Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 6. Dezember 2019 Autor Melden Teilen Geschrieben 6. Dezember 2019 vor 21 Stunden schrieb lefg: Der Bereich hiess einst Jugendaufbauwerk. Ach so, ich habe nicht richtig aufgepasst gehabt beim lesen und achte das wäre wieder ein Kürzel irgendeiner Technologie wie ABE oder ACL o.ä. Sorry dafür. @all So, ich habe auf meinem Testserver nun ein Ordner mit einer Freigabe angelegt. Jeder 'lesen' in der Freigabe selber. Das ist natürlich b***d denn da kann auch das ABE nichts machen ausser jedem die Ordner und die Inhalte anzeigen. Dann habe ich auf Fileebene (ACL) die entsprechenden Berechtigungen angelegt: T3 - T3 Mgmt - T301 -- T301 Mgmt -- T301 Daten - T302 -- T302 Mgmt -- T302 Daten usw. Auf der AD habe ich genau die gleichen Sicherheitsgruppen (T3, T3K1, TGL301, T301, TGL302, T302, usw.) Wenn sich nun ein Mitglied von T3 anmeldet, soll er ALLES ab T3 sehen und ändern können, Der T3K1 alle T301 und T302 (Beispielsweise. Eben die Gruppen die er Koordiniert), der TGL 301 ab T301 alles und der T301 nur ab 'T301 Daten'. Alles andere soll nicht nur nicht-zugreifbar sein sondern ausgeblendet werden. Ich habe die 'Zugriffsbasierte Aufzählung aktivieren' aktiviert, hat nichts gebracht. Aber ist ja auch klar: Die Freigabe besagt Jeder - > lesen und daswird nach unten vererbt. Daher habe ich ziemlich am Angfang auch gefragt gehabt wie man das so einstellt daß die Subordner das nicht erben, ODER ich muss bei jedem Subordner der 1. Unterebene (und dann nur dort weil der Rest ja vererbt wird) daran denken Das vererbte 'Jeder - Lesen' rauszuschmeissen. Daher müsste iach auch auf dieser Ebene Die Vererbung von darüberliegenden Ordnern abschalten. Richtig? Oder wie mache ich das richtig? Bis jetzt war es so daß die User direkt in Ihre Ordner gemappt wurden bzw. ab da wo sie Berechtigung haben und somit hat sich diese Frage ja erübrigt gehabt. Wenn jetzt alle in der Freigabe einsteigen, muss ich alles ausbelnden und Berechtigung entziehen allen anderen Strängen ausser beim eigenen... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 6. Dezember 2019 Melden Teilen Geschrieben 6. Dezember 2019 (bearbeitet) vor 18 Minuten schrieb kaineanung: ein Ordner mit einer Freigabe angelegt. Jeder 'lesen' in der Freigabe selber. Warum denn nur lesen auf der Freigabe? Soll denn dort niemand etwas ändern, niemand etwas schreiben, warum auf der Freigabe unnötige Einschränkung? Bei mir wäre dieser Ordner vergleichbar mit Niederlassung und JAW, Vollzugriff auf die Freigabe und auch auf den Ordner für die Sicherheitsgruppe JAW, die Vererbung unterbrochen, und zwar von oben -Root der Platte-, d.h. es wird nichts auf die Freigabe und den Ordner vererbt. Es ist zu überlegen, ob das System weiter Zugriff haben soll/muss, für das Experiment würde ich das wohl erstmal entfernen. bearbeitet 6. Dezember 2019 von lefg Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 6. Dezember 2019 Autor Melden Teilen Geschrieben 6. Dezember 2019 Verstehe ich leider nicht. Also, die ganze Struktur sieht so aus: D: - Firma -- Gruppenordner <-- Freigabe 'Jeder -> lesen' --- T1 --- T2 --- T3 <-- T3 -> ändern, Rest T3xx soll nur Ordnernamen auflisten können (->'durchnavigieren'. Sonstige Inhalte sollen nicht gezeigt werden). Alle Anderen sollen den Ordner nicht sehen ---- T3 Mgmt <-- T3 -> ändern. Alle anderen sollen ihn nicht einmal sehen ---- T301 <-- T3, TGL301 und der entsprechende Koordinator (z.B. T3K1) ändern, T301 Ordnername auflisten (-> durchklicken im Explorer zum T301 Daten-Ordner). Fü alle anderen nicht sichtbar. ----- T301 Mgmt <-- T3, TGL301 und T3K1 ändern, für alle anderen unsichtbar ----- T301 Daten <-- T3, TGL301, T3K1 und T301 ändern. Alle anderen unsichtbar ---- T302 ----- T302 Mgmt ----- T302 Daten ----- T304 usw. --- T4 usw. So, ich habe auf den Ordner 'Gruppenordner' eine Freigabe damit den User deren 'G:'-Laufwerk da hingemappt werden kann. Ich möchte das es wie folgt aussieht wenn der User sein G:-Laufwerk öffnet: Ebene 1 ist T1, T2, T3, usw.. Ebene 2 ist T3 Mgmt, T301, T302, usw. Ebene 3 ist T301 Mgmt, T301 Daten, T302 Mgmt, T302 Daten, usw.. User | Ebene 1 | Ebene 2 | Ebene 3 T3 | T3 sichtbar | alles änderbar | alles änderbar T3K1 | T3 sichtbar | T301 sichtbar | alles änderbar TGL301 | T3 sichtbar | T301 sichtbar | alles änderbar T301 | T3 sichtbar | T301 sichtbar | T3 Daten änderbar Was kann ich tun um die Berechtigung so zu legen damit die User nur Ihren Strang durchklicken können ohne Inhalte zu sehen bis sie an Ihrer Berechtigungsebene angelangt sind? T301 sieht also nur das und kann auch nur das ändern: T3->T301 -> T301 Daten TGL301 sieht folgendes und darf dort ändern: T3 -> T301 -> T301 Mgmt -> T301 Daten T3 sieht folgendes und kann dort ändern: T3 -> T3 Mgmt -> T301 -> T301 Mgmt -> T301 Daten usw. Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 6. Dezember 2019 Melden Teilen Geschrieben 6. Dezember 2019 Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen. Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users". Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 6. Dezember 2019 Autor Melden Teilen Geschrieben 6. Dezember 2019 vor 1 Minute schrieb Dukel: Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen. Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users". Ist es aber nicht andersherum was ich haben will? Ich will das die User 'nicht-lesen' sollen ausser 'ihren Strang'. T301 sieht folgendes wenn er auf sein gemapptes g: im Windows-Explorer sieht: G:\ T3 <- nur das, nicht mehr. Kein T0 oder T2 oder sonstiges sehen - T301 <- nur das, kein T3 Mgmt sehen -- T301 Daten <- nur das, kein T301 Mgmt sehen Der User TGL301 sieht folgendes: G:\T3 - T301 -- T301 Mgmt -- T301 Daten T3xx sieht im G: (Root) NUR sein T3 T2xx sieht in G: nur sein T2 usw.. Soll ich da die Vererbung von der Freigabe deaktivieren und manuell im ersten Unterordner Rechte vergeben? Die werden ja ab da weiter herunter vererbt. Das muss ich für jeden Team-Root-Ordner machen (T0- Tx). Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 6. Dezember 2019 Melden Teilen Geschrieben 6. Dezember 2019 Share und NTFS Rechte nicht durcheinander bringen! Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 6. Dezember 2019 Autor Melden Teilen Geschrieben 6. Dezember 2019 vor 4 Minuten schrieb Dukel: Share und NTFS Rechte nicht durcheinander bringen! Ich weiß das dies 2 verschiedene Dinge sind. Ich weiß das auf dem Share die Rechte vom Share höher sind als die von NTFS. Ich weiß nur nicht wie die Lösung meines Problems zu bewerkstelligen ist... Kann ich ein Share erstellen und die Vererbung der Berechtigung auf die Unterordner deaktivieren? In NTFS dann einstellen: T3xx darf nur lesen auf T3 und auf dem Rest nicht? Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 6. Dezember 2019 Melden Teilen Geschrieben 6. Dezember 2019 Was hast du jetzt bei den Share Einstellungen konfiguriert? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.