magheinz 110 Geschrieben 10. Dezember 2019 Melden Teilen Geschrieben 10. Dezember 2019 vor 19 Minuten schrieb daabm: Archivieren? Und ABE - oder sind alle in allen Projekten? Leider gibt es tatsächlich ein paar Leute die in allen Projekten sein sollen oder wollen. ABE Ist selbstverständlich an. Archivieren wäre schön, wir gehen aber den Weg in eine vernünftige Ausstellungsplanungssoftware und ein DMS. Beim Archiv wissen wir noch nicht so ganz wie wir es am besten in den Prozessen einbinden. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 10. Dezember 2019 Melden Teilen Geschrieben 10. Dezember 2019 Naja - wer alles sehen will, darf sich nicht beschweren, wenn er alles sieht LOL Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 10. Dezember 2019 Melden Teilen Geschrieben 10. Dezember 2019 vor 22 Minuten schrieb daabm: Naja - wer alles sehen will, darf sich nicht beschweren, wenn er alles sieht LOL Da stehste als IT halt b***d da. Seit mehreren Jahren warne ich davor: eine reine Dateisystemlösung skaliert nicht. Jetzt testen sie eine Software von der meine IT-Kollegen und ich von Projektstart an warnen. Wie erwartet funktioniert es nicht. Ich bin gespannt wie es weiter geht, sind ja nur Steuergelder. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 12. Dezember 2019 Melden Teilen Geschrieben 12. Dezember 2019 (bearbeitet) Ich möchte "the golden rules of permission administration" in die Runde schmeißen. Die haben schon einige Jahre auf dem Buckel, passen aber immer noch gut. The Golden Rules of Permissions Administration 1) Never give “end users” the ability to administer permissions a. Instead insure that only professional administrators for the application can administer permissions. This will prevent problems in the long run. 2) Never assign permissions to an individual user a. Instead place the user into a group and assign permissions to the group. 3) Never assign permissions to an individual file (or object). a. Instead place the file (or object) into a folder (or group, etc) and assign permissions to the folder (or group, etc). 4) Never assign permissions to a “user group” a. Instead create a specific “resource group” and place the users and/or “user groups” into that “resource group.” 5) Always assign permissions in a Resource Security Model a. This requires a very high level view of the organization and great understanding of the individual application and needs of the organization. Ab hier unterhalb soll Dir die Richtung weisen, damit du eine solide Basis bekommst. Doing security is about creating an developing a philosophy, there are many out there. The one below is mine and works for most situations, this is just a simplified explanation of the Axioms and Golden Rules listed above. For shares you should do the following Everyone - Read (optional not really needed but a nice just in case) Authenticated Users - Change Local Administators - Full Control File Strucutre Administrators - Full Control For Shares note the following: Alway limit Authenticated Users to Change at the Share to pervent non-admin users from accidently being given Full Control to the file structure. You should always configure Local Adminsitrators Full Control at the Share so they can administrate it remotely You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every share. This allows them to remotely administrater shares without being local administartors. For your high level directories NTFS Permsisions where no files reside and only read access to folders is needed to get to the data in lower directories. 1) Authenticated Users - Read 2) Local Administators - Full Control 3) File Strucutre Administrators - Full Control 4) SYSTEM - Full Control For NTFS in this situation note: Alway limited Authenticated Users to Read to pervent non-admin users chaning folders and creating files here. You should always configure Local Adminsitrators Full Control at the folder so they can administrate it remotely You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every folder. This allows them to remotely administrater shares without being local administartors. For NTFS permissions where users need to write data, stop inheritance, copy permissions and replace Authenticated users to two different groups 1) Directory group - Read Only 2) Directory group - Read and Write 3) Local Administators - Full Control 4) File Strucutre Administrators - Full Control 5) SYSTEM - Full Control For NTFS in this situation note: Alway remove Authenticated Users so the appropriate group limite access You should always configure Local Adminsitrators Full Control at the folder so they can administrate it remotely You should always create and use a Files Strucutre Adminsitrators groups and assign them full control to every folder. This allows them to remotely administrater shares without being local administartors. Quelle: https://social.technet.microsoft.com/Forums/windowsserver/en-US/68748d3a-575f-4ffa-bd98-c6b7fcb3a901/ntfs-permissions-for-a-file-server?forum=winserverfiles bearbeitet 12. Dezember 2019 von MurdocX 1 Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 16. Dezember 2019 Autor Melden Teilen Geschrieben 16. Dezember 2019 @MurdocX Habe ich das dann so richtig verstanden: 1. Erweiterte Freigabe sollen 'Authentifizierte Benutzer' das Recht 'Ändern' bekommen. 2. NTFS sollen 'Authentifizierte Benutzer' das Recht 'Lesen' bekommen. 3. In allen Unterordnern soll dann 'Authentifizierter Benutzer' entfernt werden und hier greifen dann nur noch die explizit gesetzten Berechtigungen. Somit können alle User in die Share erst mal lesend 'reinspringen' und in jeglichen Unterordnern dann je nachdem was gesetzt wurde explizit für die Gruppen. ABER: das heisst jedoch daß ich tatsächlich die Vererbung an dieser Stelle für jegliche Unterordner (also direkt in der Share-Ebene) deaktivieren müsste (Kopieren der Berechtigungen statt zu löschen und dann 'Authentifizierte Benutzer' entfernen). Ist das richtig so? Denn genauso habei ch es verstanden und auch in meiner Testumgebung umgesetzt. Scheint gut zu funktionieren. Ich war mir lediglich nicht sicher weil ich die Vererbung da unterbrechen musste und Berechtigung entfernen musste für jeden Einzelnen Ordner in dieser Ebene. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 16. Dezember 2019 Melden Teilen Geschrieben 16. Dezember 2019 (bearbeitet) Bitte nicht verwechseln. Freigabe: - das hier einmal für die Freigabe - Authenticated Users - Change Local Administators - Full Control File Strucutre Administrators - Full Control NTFS: - das hier für jeden Ordner einzeln und nach unten vererbt - Directory group (Ordnername) - Read Only Directory group (Ordnername) - Read and Write - das hier vererbt von dem Root-Ordner auf alle unteren - Local Administators - Full Control File Strucutre Administrators - Full Control SYSTEM - Full Control Ich würde maximal 3 Unterebenen empfehlen. Sonst wirds einfach zu komplex. RootOrdner ( Freigabe ) -> OrdnerEbene1 -> OrdnerEbene2 -> OrdnerEbene3 Unterbrechen der Vererbung nur in den Fällen in denen es nötig ist, denn das erhöht auch die Komplexibilität der Struktur. Später baust du Dir Rollen. Beispielsweise -> Sekretariat (GlobalGroup). Dort packst du die Berechtigungsgruppen (Directory group - Read Only ODER Directory group - Read and Write) rein. Später dann die Benutzer in die Rolle und fertig. AGDLP, wie es schon erwähnt wurde. Das soll Dir die Basis vermitteln und passt sicher nicht auf alle Eventualitäten, durchaus aber auf fast alles. Mach dich mit dem Konzept vertraut und lege los bearbeitet 16. Dezember 2019 von MurdocX Zitieren Link zu diesem Kommentar
kaineanung 14 Geschrieben 18. Dezember 2019 Autor Melden Teilen Geschrieben 18. Dezember 2019 Am 16.12.2019 um 17:02 schrieb MurdocX: Unterbrechen der Vererbung nur in den Fällen in denen es nötig ist, denn das erhöht auch die Komplexibilität der Struktur. Das ist aber immer nötig wenn die Leute unterhalb dem Share nur ihre Ordner sehen sollen. Da der Share mit 'Domänen-Admin' - > 'Lesen' ausgestattet ist, muss hier die Vererbung unterbrochen werden und 'Domänen-Admins' entfernt. Denn ab hier sind die einzelnen Unterordner in dieser Ebene nur explizit für die entsprechenden AD-Gruppen freigegeben was ändern aber auch lesen angeht. Also habe ich das hier schon richtig verstanden gehabt? Share (Dom-User 'lesen') -> T3 (Unterordner des Team 3 -> Dom-User entfernen & T3 (AD-Gruppe) hinzufügen und auf 'ändern' setzen) Share (Dom-User 'lesen') -> T301 (Unterordner des Team 301 -> Dom-User entfernen & T301 (AD-Gruppe) hinzufügen und auf 'ändern' setzen) usw.. Zitieren Link zu diesem Kommentar
MurdocX 953 Geschrieben 18. Dezember 2019 Melden Teilen Geschrieben 18. Dezember 2019 (bearbeitet) vor einer Stunde schrieb kaineanung: Das ist aber immer nötig wenn die Leute unterhalb dem Share nur ihre Ordner sehen sollen. Nein, denn sie sehen ja eh nur das wofür sie berechtigt wurden. Siehe (- das hier für jeden Ordner einzeln und nach unten vererbt -). Du unterbringst am Anfang der Struktur (einmal), um die oben genannten Berechtigungen zu setzten. Diese vererben sich bis zur letzten Datei + die Gruppen, die im laufe der Struktur dazu kommen. vor einer Stunde schrieb kaineanung: Share (Dom-User 'lesen') -> T3 (Unterordner des Team 3 -> Dom-User entfernen & T3 (AD-Gruppe) hinzufügen und auf 'ändern' setzen) Warum dürfen Domänen-Benutzer nur lesen? Ich habe oben (- das hier einmal für die Freigabe -) genau aufgezeigt was berechtigt werden sollte. Die Hilfe im Forum ist begrenzt. Ich kann Dir den Weg weisen, gehen musst du ihn aber selbst. Allgemein: Je tiefer du in die Struktur gehst, desto mehr Berechtigungen hast du. Entweder jemand hat für den Ordner und seine Unterordner die Berechtigung oder nicht. Was gar nicht geht ist der Fall: Aber im 5 Unterordner darf XYZ das und das nicht sehen. Falls das doch eintritt, dann Ordnerstruktur umbauen! Ich habe Dir die Basics oben geschrieben und erläutert. Das Thema "Berechtigungen" ist auch nichts was man einfach mal so aus dem Ärmel schüttelt, sondern etwas was geplant werden sollte. Hier braucht es einfach Erfahrung und Zeit für das richtige Konzept. Löse dich von deinem Konzept im Kopf und hinterfrage was wir hier alle schreiben. So kannst du lernen warum wir hier etwas so oder so tun. UND noch besser.. warum genau nicht bearbeitet 18. Dezember 2019 von MurdocX 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.