Migration vom Fileserver und dabei weg vom Organigramm

[kaineanung 14]

d:\Firma\Gruppe -> Berechtigung 'Domänen-Benutzer -> Lesen'

(Ändern sollen die ja nicht können bis in ihre Ebene in der sie Berechtigung haben. Und bis zu dieser Ebene eben nur Ornder lesen damit man sich 'durchanvigieren' kann).

 

Dann habe ich im gleichen Ordner die NTFS-Berechtigungsvererbung deaktiviert.

ABE ist aktiviert. Nutzt alles nichts... :(

[Dukel 451]

Wenn die Share Rechte auf Lesen sind, ist es egal was die NTFS Rechte sind, dann gibt es maximal ein lesen.

Wenn die Share Rechte auf Ändern sind, kannst du das immer noch via NTFS auf Lesen einschränken.

 

[daabm 1.348]

vor 11 Stunden schrieb Dukel:

Bei Share Rechte und NTFS Rechte greift das restiktivere. Wenn im Share jeder nur lesen kann, ist es egal, was die NTFS Rechte sagen.

Hier solltest du auf Ändern stellen und ich würde das nicht mit "jeder" machen sondern "Domain Users" oder "Authentificated Users".

Wenn der Gast-Account deaktiviert ist, gibt es zwischen Jeder und AuthUsers keinen Unterschied.

@kaineanung Die Share-Rechte sind quasi das "Loch", durch das alle erst mal durch müssen. Dabei ziehen sie an, was das Loch vorgibt, hier also "Leserechte". Mehr können sie hinterher nicht bekommen.

[kaineanung 14]

Ich glaube ich habe mich nicht verständlich mitgeteilt und daher vielleicht lieber visuell zeigen wohin ich will:

 

Vorab Erklärung zu den AD-Gruppenbezeichnungen T3xxx:

T3 -> Teamleiter)

T3K1 oder T3K2 oder T3Kx -> Koordinator welcher eine oder mehrere untergebenen Gruppen leitet

TGL301 oder TGL302 oder TGL30x -> Gruppenleiter

T301 oder T302 oder T30x -> Gruppen

 

    Root
      |
Gruppenordner <-- Freigabe für alle Domänmen-User- Dies ist auch der Einstiegspunkt für das Laufwerkmapping (g:) aller User
      |
      T0 <-- Alle T0xx sehen diesen Ordner und dürfen sich durch diesen durchnavigieren. ALLE ANDEREN sehen diesen Ornder nichteinmal.
      |
      T1 <-- Siehe T0, nur eben für T1xx
      |
      T2 <-- Siehe T0, nur eben für T2xx
      |
      T3 <-- Alle T3xx sehen diesen Ornder und dürfen sich durchnavigieren.
      |---
      |  |--- T3 Mgmt <-- dieser Ordner wird nur von T3 gesehen (Teamleiter) und dieser darf alles ändern
      |  |--- 
      |  |  |--- T301 <-- dieser Ordner wird von T3, T3K1, TGL301 und T301 gesehen. Jedoch nicht von anderen Team-Leitern & Mitgliedern neben T301 (z.B. T302)
      |  |     |
      |  |     |--- T301 Mgmt <-- wird von T3, T3K1 und TGL301 gesehen und bearbeitet
      |  |     |--- T301 Daten <-- wie T301 Mgmt + normale Gruppenmitglieder
      |  |--- T302 <-- Reverse-Beispiel: wird NICHT von TGL301 und T301 gesehen!
      |  |--- T303
      |  |--- usw.
      |
      T4
      |
     usw.
     
     
     Beispiel Mitglied der TGL301 (alles was dieser sehen kann):
     
      G:
      |
      T3
      |---
      |   |--- T301
      |      |
      |      |--- T301 Mgmt <-- hier darf auch geändert werden
      |      |--- T301 Daten <-- hier darf auch geändert werden
      
      Beispiel T301 (alles was dieser sehen kann):
      G:
      |
      T3
      |---
      |   |--- T301
      |      |
      |      |--- T301 Daten <-- hier darf auch geändert werden
      
      Beispiel T3 (alles was dieser sehen kann):
      G:
      |
      T3
      |---
      |  |--- T3 Mgmt <-- hier darf auch geändert werden
      |  |--- 
      |   |--- T301
      |   |  |
      |   |  |--- T301 Mgmt <-- hier darf auch geändert werden
      |   |  |--- T301 Daten <-- hier darf auch geändert werden
      |   |--- T302
      |      |
      |      |--- T302 Mgmt <-- hier darf auch geändert werden
      |      |--- T302 Daten <-- hier darf auch geändert werden
      usw.
      

Ich möchte, weil mir das hier als 'richtig' erklärt wurde, das alle in G:, also im Root-Ordner, also der Freigabe einsteigen.

Jegliche T3xx-Mirglieder sehen nur den T3-Ordner und alle anderen sind ausgeblendet.

Unter dem T3-Ordner (also in der nächsten Ebene) sieht T3 (Teamleiter) die Ordner 'T3 Mgmt' und alle Untergruppen T3xx. Alle anderen T3xx-Mitglieder sehen nur DEREN Teamordner (z.B. T301).

Unter dem Teamordner (z.B. T301) sieht der TGL301 (Gruppenleiter) den Ordner 'T3 Mgmt' und 'T3 Daten'. Die anderen nur 'T3 Daten'.

 

So, wie weise ich den Fileserver an das er dies so umsetzt? Alle steigen im Root ein und sehen aber nur ihren 'Strang'. T3xx sieht keine T0, T1, T2, T4, usw. Ordner in der obersten Ebene.

 

 

[kaineanung 14]

Ich habe mich ein wenig durchgelesen und durch-'gewurstelt' und habe es so in der NTFS-Berechtigung so hinbekommen wie ich es haben möchte.

Wenn ich per '\\srv-daten\Gruppen' (Gruppen = Freigabename) hinein 'navigiere', so bekomme ich auch nur das angezeigt worauf ich Berechtigung habe. Alles andere (dank des ABE würde ich sagen) wird ausgeblendet und dies zieht sich hinunter bis zur letzten Ebene die ich definiert habe (z.B. T301 -> \\srv-daten\Gruppen\T3\T301\T301 Daten).

 

Problem ist: wenn ich per Laufwerksbuchstabe G:\ hinein navigiere, sehe ich nichts mehr WENN 'Im Sicherheitskontext des angemeldeten Benutzers ausführen' der Haken gesetzt ist!

Wenn der Haken NICHT gesetzt ist dann sehe ich wieder das gewünschte Ergebnis. Ist das normal? Soll das so sein? Ich dachte das Mapping soll im Sicherheitskontext des angemeldeten Users sein?

 

Als T3xx sehe ich über '\\srv-daten\Gruppe' -> T3 (sonst nichts. Also wie gewünscht)

Als T3xx sehe ich über 'G:\' -> T3 (Wenn der Haken beim GPP Laufwerksmapping NICHT gesetzt ist 'Im Sicherheitskontext als Benutzer')

Als T3xx sehe ich über 'G:\' -> nichts (Wenn der Haken beim GPP Laufwerksmapping gesetzt ist 'Im Sicherheitskontext als Benutzer')

 

Beide sind ja Einstiegspunkte über die Freigabe und somit sollte das doch gleich sein, oder nicht?

Ist das normal? Kann mir jemand das Erklären? Soll das so sein?

GPO/GPP -> Beutzerkonfiguration -> Einstellungen -> Windows-Einstellungen -> Laufwerkszuordnung -> G:\ -> \\srv-daten\Gruppen (Gemeinsame Optionen -> KEIN Haken bei 'Im Sicherheitskontext des angemeldeten Benutzers ausführen (Benutzerrichtlinienoption))

 

Ich frage nur weil mich das etwas irritiert weil ich bisher davon ausgegangen bin das gerade hier im 'Sicherheitskontext des Benutzers' aktiviert werden sollte. Da dies nicht der Fall ist, ist mir jetzt klar. Aber ich wütrde es mir gerne nochmal von einem Profi bestätigen lassen daß es so korrekt ist.

 

Ansonsten hätte ich es ja so wie ich haben wollte.

Nur nochmals zu erwähnen daß ich gelesen habe daß die Freigabe auf 'Jeder' - > 'Vollzugriff' (alternativ eben 'Domänen-Benutzer' -> 'Vollzugriff') stehen sollte und die NTFS-Sicherheit die 'Arbeit' überlassen soll.

Das habe ich gemacht und es klappt wohl auch. Aber hier hat jemand erwähnt gehabt daß die Freigabenberechtigungen über den der NTFS stehen.

Ist das dann doch andersherum oder verstehe ich hier irgendwas falsch?

[lefg 276]

vor einer Stunde schrieb kaineanung:

Aber hier hat jemand erwähnt

 

Ich hatte auf Freigabe und Ordner die selbe Sicherheitsgruppe. Der Ordner JAW wurde freigegeben als JAW, in der ACL der Freigabe und der ACL des Ordners steht die Sicherheitsgruppe JAW, nichts anderes. Und jeder User ist Member der Sicherheitsgruppe JAW. Später habe ich dann Sicherheitsgruppen geschachtelt auf Wunsch meines Vorgesetzten. Ein User einer unteren Sicherheitsgruppe wurde automatisch der nächsthöhergelegenen. Das war zwar wohl sehr schön gemacht, aber ich wollte es eigentlich einfach halten mit etwas mehr Arbeit z.B. beim Anlegen eines neuen Users einige Sicherheitsgruppen mehr. Meinem Kollegen fehlte da die Routine, es kam von einem anderen Server-System, fragte: ist das so ähnlich wie bei .....? Die Antwort drauf: Nein, es ist nicht so, es ist ganz anders.

bearbeitet 9. Dezember 2019 von lefg

[kaineanung 14]

Ich habe es so langsam so hingebogen damit es für mich passt. Die Fragen aus meinem letzten Post hätte ich aber schon noch gerne beantwortet bekommen:

(@lefg Sorry, deine Antwort hat es mir nicht konkret beantwortet)

 

Und noch eine Verständnisfrage:

 

Gruppen

- T3 <-- LESEN T3 (+ Vollzugriff), TGL301, TGL 302, T301, T302, usw. (Eben alle T3xx)

-- T3 Mgmt <-- VERERBUNG DEAKTIVIEREN, Alle ausser T3 rausschmeissen

-- T301 <-- VERERBUNG DEAKTIVIEREN. Nur T301 und TGL301 lesen belassen + TGL301 ändern hinzufügen

--- T301 Mgmt

--- T301 Daten <-- T301 mit ändern erweitern

 

Ich muss ja in so einer Struktur viel mit 'Vererbung deaktivieren' arbeiten. Ist das korrekt so?

Von oben herab müssen alle Gruppen im T3-Strang lesend zugreifen können damit sie sich ja bis zu ihrem Ordner durchnavigieren können. Das was dann die einzelnen Gruppen nicht sehen sollen, muss Berechtigungs-technisch entzogen werden (z.B. Bei 'T3 Mgmt' hat nur der Teamleiter T3 was zu suchen -> nur er soll es auch sehen können -> Verebung deaktivieren & alle rausschmeissen ausser T3).

 

So muss ich dann auch bei den Gruppenordnern T301 usw. verfahren (T301 -> Vererbung deaktivieren -> alle Rausschmeissen ausser T301 und TGL301).

Ist das so die richtige Vorgehensweise?

[magheinz 110]

Hol dir lieber jemanden vor Ort dazu der das ganze mal mit dir durchgeht. 

Ist das eigentlich eine statische Struktur oder kommen da ständig neue Gruppen Projekte etc dazu?

Ich sehe das wie du es beschreibt am Ende als nicht mehr wartbar. 

 

Wenn du intensiv mit DFS und vielen Freigaben arbeitest, dann kannst du das Unterbrechen der Vererbung sparen und das Neuanlegen von Gruppen, Teams etc sauber Scripten. 

So haben wir auch angefangen um dann festzustellen, es skaliert nicht. 

Bei würde die Mars***richtung raus aus dem Dateisystem, rein in ein DMS ausgerufen. Wir suchen jetzt nach der für uns passenden Lösung da wir noch einige Spezialfälle dabei gleich mit abdecken machen wollen und das ganze in eine weitere Software integriert werden soll. 

bearbeitet 10. Dezember 2019 von magheinz

[kaineanung 14]

vor 8 Minuten schrieb magheinz:

Ich sehe das wie du es beschreibt am Ende als nicht mehr wartbar. 

Darum habe ich euch hier gefragt: wie macht ihr das (zumindest die die Fileserver nutzen und kein DMS) damit es wartbar ist?

Ich will ja keine Super-Sonderlösung sondern bin offen für Vorschläge die BESSER und WARTBARER sind als das Firmenorganigramm welches wir momentan haben.

Und das auch nur deswegen weil man mir dies hier in der Vergangenheit 'nahegelegt' hatte weil das ja verphöhnt ist das Firmenorganigramm star im Fileserver abzubilden (-> ist schwer wartbar).

Jetzt habe ich mir erkären lassen wie es besser wre, und jetzt kommst du und sagst: nicht wartbar.

Ok, wie ist es wartbar?

Was hält ihr (insbesondere @magheinz) von einer absolut flachen Organisation der Daten fast wie Projektordner nur eben Gruppen- und Team-Ordner nebeneinander?

 

T2

TGL201

TGL202

T201

T3

TGL301

TGL302

T301

T302

usw.?

 

Ich habe ja jetzt 3 mögliche Strukturen.

1. Diese gerade angesprochene absolut Flache

2. Die die ich die ganze Zeit bespreche und abgebildet habe

- T2

-- T2 Mgmt

-- T201

--- T201 Mgmt

--- T201 Daten

usw.

3. Die bisher genutzte Struktur welche das Firmen Organigramm abbildet.

 

IRGENDWAS wird ja wartbar sein! Denn hier sind sicherlich die meisten OHNE DMS unterwegs. Daher: was nutzt ihr, was ist wartbar und was schlägt ihr vor?

Schade das es hier kein Votingsystem gibt denn jetzt hat mich @magheinz echt verunsichert...

[magheinz 110]

vor einer Stunde schrieb kaineanung:

Was hält ihr (insbesondere @magheinz) von einer absolut flachen Organisation der Daten fast wie Projektordner nur eben Gruppen- und Team-Ordner nebeneinander?

 

Das kommt auf die Anforderungen an.

 

vor 30 Minuten schrieb kaineanung:

Darum habe ich euch hier gefragt: wie macht ihr das (zumindest die die Fileserver nutzen und kein DMS) damit es wartbar ist?

 Ich will ja keine Super-Sonderlösung sondern bin offen für Vorschläge die BESSER und WARTBARER sind als das Firmenorganigramm welches wir momentan haben.

Wir nutzen keine Windows-Storageserver sondern direkt die netapp.

Projekte sind jeweils ein Qtree und wir haben die Berechtigungen einfach so entschlackt das alle Projektmitarbeiter alles in ihrem Projekt sehen können. Das hat die Berechtigungen schon mal um den Faktor 6 verringert.

Wir bauen den Dateibaum dann aus vielen volumes und Qtrees zusammen und setzen die Berechtigungen direkt dort. Dadurch vererben die sich nicht weiter wo sie es nicht sollen.

 

Vorher hatten wir pro Projekt 6 verschiedene Unterordner mit einzelnen Berechtigungen. Die waren jeweils eine Freigabe welche im DFS zusammengeführt wurden.

Das Problem ist, ab einer gewissen Anzahl an Projekten explodiert die Gruppenanzahl im AD. Wir hatten irgendwann Leute die sich nicht mehr anmelden konnten wegen zu vieler Gruppenmitgliedschaften.

 

vor 30 Minuten schrieb kaineanung:

IRGENDWAS wird ja wartbar sein! Denn hier sind sicherlich die meisten OHNE DMS unterwegs. Daher: was nutzt ihr, was ist wartbar und was schlägt ihr vor?

Schade das es hier kein Votingsystem gibt denn jetzt hat mich @magheinz echt verunsichert...

Wie oft kommen denn da neue Gruppen etc hinzu?  Es ist ja nicht ganz unwichtig dabei ob das nur einmal angelegt wird oder ob du da täglich etwas hinzufügen musst.

Wen dich ein so ein Posting dermaßen verunsichert, dann ist das ein Zeichen dafür, dass ein Forum hier nicht ausreichend helfen kann.

[kaineanung 14]

vor 30 Minuten schrieb magheinz:

Das Problem ist, ab einer gewissen Anzahl an Projekten explodiert die Gruppenanzahl im AD.

 

Ich habe mir das so auch überlegt wie ich das mit den Projekten mache und dann beschlossen daß dies sicherlich nicht eine gängige Methode ist.

Ich habe bei diesem Satz aufgehorcht weil es eventuell dann doch nicht so abwegig ist für ein Projekt eine AD-Gruppe zu erstellen und die User diesem dann angehören die damit zu tun haben statt auf NTFS-Ebene jede einzelne Gruppe aufzunehmen oder rauszuschmeissen. Dadurch wäre auch der Vorteil da einzelne USer in das Projekt aufzunehmen.

 

Bei den Projektordnern kann man dann so vorgehen, richtig? AD-Gruppe 'Projekt1' erstellen und alle Gruppen ODER auch einzelne User als Mitglieder aufnehmen

STATT auf Projekt1-Ordner hat Berechtiguung der Max Mustermann, TGL201 und T302 (als Beispiel).

 

vor 34 Minuten schrieb magheinz:

Wie oft kommen denn da neue Gruppen etc hinzu?  Es ist ja nicht ganz unwichtig dabei ob das nur einmal angelegt wird oder ob du da täglich etwas hinzufügen musst.

Wen dich ein so ein Posting dermaßen verunsichert, dann ist das ein Zeichen dafür, dass ein Forum hier nicht ausreichend helfen kann.

Neue Gruppen nur dann wenn sich die Firmenstruktur ändert. Also alle Jahre mal wieder...

Lass das mit dem 'verunsichert sein' nur mal mein Problem sein. Verglichen was wir bisher hier geführt haben ist jeder Schritt eine Innovation... Notfalls behalten wir einfach die Struktur bei die wir jetzt haben. Läuft schon mindestens 15 Jahre so. Und mein Wissen ist ja jetzt auch nicht 'gar nicht vorhanden' und ich lasse mir mein Wissen lieber bestätigen als davon auszugehen das es so stimmt wie ich denke. Daher sind meine Fragen auch 'tiefgreifender'...

[magheinz 110]

vor 1 Minute schrieb kaineanung:

Bei den Projektordnern kann man dann so vorgehen, richtig? AD-Gruppe 'Projekt1' erstellen und alle Gruppen ODER auch einzelne User als Mitglieder aufnehmen

STATT auf Projekt1-Ordner hat Berechtiguung der Max Mustermann, TGL201 und T302 (als Beispiel).

AGDLP

Berechtigungen werden auf DomainLocale Gruppen gesetzt welche Dann globale Gruppen als Mitglieder haben in welchen dann die Mitarbeiter Mitglied sind.

 

Das heisst die Gruppe "DL_Projekt1" bekommt Schreibrecht. Die Gruppe "G_Projekt1" enthält die Mitarbeiter. Jetzt verschnackelt mann die beiden Gruppen und hat damit die 'Berechtigung vergeben. Das ganze sind dann zwei n:m-Beziehung:

1. Domainlocale Gruppen:globale Gruppen

2. globale Gruppen:Usern.

 

Die Kunst ist es User gescheit in globale Gruppen zusammenzufassen.

 

vor 6 Minuten schrieb kaineanung:

Bei den Projektordnern kann man dann so vorgehen, richtig? AD-Gruppe 'Projekt1' erstellen und alle Gruppen ODER auch einzelne User als Mitglieder aufnehmen

 STATT auf Projekt1-Ordner hat Berechtiguung der Max Mustermann, TGL201 und T302 (als Beispiel).

Berechtigungen IMMER NUR AUF DOMAINLOKALE GRUPPEN.

 

vor 8 Minuten schrieb kaineanung:

Neue Gruppen nur dann wenn sich die Firmenstruktur ändert. Also alle Jahre mal wieder...

Dann kann man das meiner Meinung nach ruhig etwas komplexer machen.

Bei uns kommen alle paar Tage oder Wochen neue Projekte dazu.

[kaineanung 14]

vor 55 Minuten schrieb magheinz:

Bei uns kommen alle paar Tage oder Wochen neue Projekte dazu.

Naja, Projekte kommen wohl auch bei uns öfters. Ich meinte nur die Firmenstruktur und die daraus resultierende Gruppen ändern sich nicht allzuoft.

Ich habe aber 2 Ordner für diese jeweiligen Belange:

Gruppen-Ordner und Projekte-Ordner (so ist zumindest der Plan).

Projekte werden definitiv Flach angelegt im Root des 'Projekte-Ordner'

- Projekte

-- Projekt1

-- Projekt2

usw..

 

AD-Gruppe Projekt1 wird angelegt und hat in \Projekte\Projekt1 Vollzugriff. AD-Gruppe Projekt1 werden Mitglieder die Gruppen, aber auch die einzelnen User der betreffenden Projektzugehörigen.

Die Gruppen-Struktur der Firma möchte ich aber nach wie vor beibehalten da es viele Daten gibt die eben keinem Projekt zugeordnet sind sondern den Teams und den Gruppen.

Daher das oben genannte mit

- T2

-- T2 Mgmt

-- T201

--- T201 Mgmt

--- T201 Daten

usw..

 

Hat ganz am Anfang der @Dukel so vorgeschlagen.

Ich überlege mir da nur noch ob ich den 'T2xx Daten'-Unterorder so brauche oder der übergeordnete 'T201' Ordner als Datenordner fungieren kann und der Unterordner 'T201 Mgmt' bestehen bleibt nur mit Leseberechtigung für das Management (also Vererbung deaktivieren und nur das Management Vollzugriff geben).

 

[magheinz 110]

vor 6 Stunden schrieb kaineanung:

Projekte werden definitiv Flach angelegt im Root des 'Projekte-Ordner'

Bei irgendwann 100 Projekten oder so muß man verdammt lange scrollen. 

Wir haben die noch in Jahreszahlenordner sortiert was aber auch nicht der Weisheit letzter Schluss ist. 

[daabm 1.348]

vor 8 Minuten schrieb magheinz:

Bei irgendwann 100 Projekten oder so muß man verdammt lange scrollen.

Archivieren? Und ABE - oder sind alle in allen Projekten?