Fileserver-Struktur: Wie macht ihr das mit den (zusätzlichen) Berechtigungen und überhaupt mit der Struktur?

[Squire 272]

erfahrungsgemäß eine Woche oder ein Monat ist zu lange! Gleich klar machen, das ist für den Transfer von Daten, wird nicht gesichert und wird täglich gelöscht. Punkt. Wenn Du es länger hältst kommt immer noch jemand ums Eck und beschwert sich, das das aber zu kurz ist ... das tägliche Löschen klappt auch bei über 2.500 Usern - es muss nur richtig kommuniziert werden!

 

DFS ... bei uns \\domain.tld\dfs im Explorer - wir packen einen Entsprechenden Link in den W10 Schnellstart rein, kannst Du auch auf den Desktop packen

 

dahinter steht letztlich natürlich ein oder mehrere Fileserver ... (wir haben aktuell vier mit rund >12 TB Daten) und die werden halt ganz normal gesichert. Die user arbeiten nur über die DFS Links

[tesso 375]

Ich hatte so einen Austauschordner mal für einen Kunden gescriptet. 
Jeden Freitag wurde der gesamte Ordner gelöscht und für jeden AD User ein Ordner angelegt in welchem der User schreiben kann und alle durften lesen. 

[Squire 272]

naja - groß scripten braucht man da nix ... ist ein Zweizeiler ... alte Verzeichnisstruktur ohne Nachfrage löschen. Vorhandene Struktur aus einem Unterordner mittels RoboCopy reinkopieren

[tesso 375]

Wir hatten alle AD User ausgelesen, für jeden einen Ordner angelegt und entsprechend Rechte vergeben. 

[magheinz 110]

Bei uns werden alle Dateien die älter als 14Tage sind gelöscht. Und die leeren Unterordner. 

Jeder User kann nur in sein Verzeichnis schreiben und so Dateien zur Verfügung stellen. Lesen kann jeder in allen Verzeichnissen.

[MurdocX 957]

vor 2 Stunden schrieb magheinz:

Jeder User kann nur in sein Verzeichnis schreiben und so Dateien zur Verfügung stellen. Lesen kann jeder in allen Verzeichnissen.

Die Idee finde ich gut. Ich lasse das Tauschverzeichnis jeden Sonntag leeren. Und das ist auch wirklich nötig. Interessant was alles für große Dateien auf dem Ordner getauscht werden.

[magheinz 110]

vor 40 Minuten schrieb MurdocX:

Die Idee finde ich gut. Ich lasse das Tauschverzeichnis jeden Sonntag leeren. Und das ist auch wirklich nötig. Interessant was alles für große Dateien auf dem Ordner getauscht werden.

Das wichtigste dabei: das muss allen bekannt sein. An sich dürfen dort nur Kopien liegen.

[NorbertFe 2.089]

vor 43 Minuten schrieb magheinz:

Das wichtigste dabei: das muss allen bekannt sein.

Da kannste nix machen. ;) Da liegt im in der Freigabe ein Ordner der heißt "LÖSCHEN JEDEN Freitag" (oder ähnlich) und es wird per Intranet bekanntgegeben. Und dann schaltest du das ein und bekommst Rückfragen, warum denn der Ordner "NICHT LÖSCHEN" jetzt leer ist. ;)

[tesso 375]

vor 7 Minuten schrieb NorbertFe:

Da kannste nix machen. ;) Da liegt im in der Freigabe ein Ordner der heißt "LÖSCHEN JEDEN Freitag" (oder ähnlich) und es wird per Intranet bekanntgegeben. Und dann schaltest du das ein und bekommst Rückfragen, warum denn der Ordner "NICHT LÖSCHEN" jetzt leer ist. ;)

Lernen durch Schmerz. 

[MurdocX 957]

Am 22.6.2020 um 10:19 schrieb kaineanung:

Auf den Gruppen und Teamorndern gibt es lediglich eine AD-Sicherheitgruppe und die ist mit Änderungrechte ausgestattet. (Die Gruppenordner haben keine 'Read Only User).

In der Regel kommt es immer anderst als man denkt. Deshalb hab ich mir angewöhnt immer beides ("Kürzel-Ordner-RW" und "Kürzel-Ordner-RO") anzulegen und die Beschreibung zu pflegen. Die Arbeite wäre nur einmal und später spart man sich das erneute Berechtigen. 

Am 22.6.2020 um 10:19 schrieb kaineanung:

Darunter dann die einzelnen Projekte auf die 2 AD-Sicherheitsgruppen vergeben werden. Ein 'rw-acces' und ein 'ro-access'.

Hier ein Tipp. "Access" Gruppen sind ja beide. Hier könntest du treffendere Namen wie z.B. "Kürzel-Ordner-RW" und "Kürzel-Ordner-RO" angeben. Dann ist das auch nach Jahren noch schlüssig wo die Berechtigung hin kommt und auch wo nicht.

Am 22.6.2020 um 10:19 schrieb kaineanung:

Da es ja nicht mehr 7 Ebenen gibt sondern 2 ist das vertretbar.

Am 22.6.2020 um 10:19 schrieb kaineanung:

(root$ heisst es nicht wirklich, will es aber damit nur verdeutlichen. Heissen tut es Firmenname$)

Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.

[Squire 272]

vor 38 Minuten schrieb MurdocX:

Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.

außer du willst, dass die User den DFS Pfad nehmen und nicht die direkte Serverfreigabe. (gibt immer ein paar "Edel"-User, die meinen Letzteres sei besser)

[tesso 375]

vor 10 Stunden schrieb MurdocX:

In der Regel kommt es immer anderst als man denkt. Deshalb hab ich mir angewöhnt immer beides ("Kürzel-Ordner-RW" und "Kürzel-Ordner-RO") anzulegen und die Beschreibung zu pflegen. Die Arbeite wäre nur einmal und später spart man sich das erneute Berechtigen. 

Hier ein Tipp. "Access" Gruppen sind ja beide. Hier könntest du treffendere Namen wie z.B. "Kürzel-Ordner-RW" und "Kürzel-Ordner-RO" angeben. Dann ist das auch nach Jahren noch schlüssig wo die Berechtigung hin kommt und auch wo nicht.

Durch das verstecken der Freigabe wäre nichts gewonnen, denn dann wird verhindert, dass der MA sich selber zu dem Pfad navigieren kann. Die Struktur müsste nicht versteckt werden, denn es würde auch keinen Vorteil bringen. Hier könnte man transparent das Share einfach sichtbar lassen.

Ich lege zusätzlich immer noch eine "deny" Gruppe an.

[MurdocX 957]

vor 12 Stunden schrieb tesso:

Ich lege zusätzlich immer noch eine "deny" Gruppe an.

Auch interessant. Ich versuche sowas beim Designen zu vermeiden. Die Strukturen die ich Firmen aufbauen darf, designe ich (meist) "alles" oder "nichts" auf der Basis eines Rollenkonzeptes. Ordner die dort rausfallen sind meist Grauzonen oder Projekte. Dafür gibt es dann Projektteams. 

vor 22 Stunden schrieb Squire:

außer du willst, dass die User den DFS Pfad nehmen und nicht die direkte Serverfreigabe. (gibt immer ein paar "Edel"-User, die meinen Letzteres sei besser)

User die es immer anderst machen kenne ich auch. Viele von denen sind recht redselig und ich versuche Sie auf die gute Seite der Macht zu bringen. 

[kaineanung 14]

Ich war eine zeitlang nicht mehr im Forum und sehe das es aktivitäten gab in diesem Thread.

Vielen Dank für eure Informationen.

Bei uns zieht es sich gerade ein wenig (Kurzarbeit, Urlaub usw..) und das Thema wurde noch nicht von der Geschäftführung vorgetragen und somit noch kein OK geholt.

 

Ich habe aber in der Testumgebung alles so eingerichtet wie ich es hier verstanden habe und werde auch zu jedem Projekt-Ordner 2 AD-Gruppen erstellen (p_Projektname und p_Projektname_ro).

und diese entsprechend dem Ordner vergeben. Im Test sieht das schon alles gut aus.

 

Ich habe nur noch nicht ganz verstanden ob meine Vorgehensweise des Anlegens eines neuen Ordners die Richtige ist:

Ich habe ein neues Projekt und gehe auf dem Fileserver auf die Freigabe\Projekte und erstelle dort den Ordner (sozusagen Root-ordner des Projektes). Wir nennen den Ordner dann mal 'ProjektX'.

Meine Freigabe ist auf der D-Partition und sieht folgenderma0ßen dann aus:

'd:\Firmenname\Projekte\ProjektX'.

 

So, der Ordner 'Projekte' hat die Berechtigung 'Domänen-Benutzer' dürfen 'auflisten/lesen' so daß dieser Ordner bei allen angezeigt wird.

Da nun die Berechtigungs-Vererbung das Recht an den Unterordner 'ProjektX' vererbt, deaktiviere ich auf dem Ordner 'ProjektX' die Vererbung, wandle dabei alle Berechtigungen in Kopien um und lösche dann 'TESTDOM\Domänen-Benutzer' heraus (ich habe noch TESTDOM\Domänen-Administratoren, SRV-FILE\Administratoren, Administrator, SYSTEM und ERSTELLER-BESITZER).

Dann gehe ich hin und füge die AD-Gruppen 'p_ProjektX' und 'p_ProjektX_ro' hinzu und vergebe der 'p_ProjektX' das Schreiberecht und der 'p_ProjektX_ro' das Leserecht.

 

Meine Frage ist ob diese Vorgehenseise dann so richtig ist? Ich muss ja die Vererbung an dieser Stelle unterbinden wenn ich nur den Benutzern den Ordner anzeigen lassen will welcher überhaupt auch irgendwelche Berchtigungen besitzen, richtig?

Mir ist nur noch diese Stelle unklar und den Rest habe ich verstanden und soweit auch umgesetzt dank eurer hervorragenden Hilfe! Danke nochmals dafür!

 

[testperson 1.728]

Hi,

vor 57 Minuten schrieb kaineanung:

So, der Ordner 'Projekte' hat die Berechtigung 'Domänen-Benutzer' dürfen 'auflisten/lesen' so daß dieser Ordner bei allen angezeigt wird.

früher oder später wird der Tag kommen, wo irgendjemand keinen Zugriff mehr auf ..\Projekte haben soll. Erstelle doch direkt eine Gruppe "p_Projekte_ro" und nimm dann derzeit alle User auf.

 

vor 57 Minuten schrieb kaineanung:

Da nun die Berechtigungs-Vererbung das Recht an den Unterordner 'ProjektX' vererbt, deaktiviere ich auf dem Ordner 'ProjektX' die Vererbung, wandle dabei alle Berechtigungen in Kopien um und lösche dann 'TESTDOM\Domänen-Benutzer' heraus (ich habe noch TESTDOM\Domänen-Administratoren, SRV-FILE\Administratoren, Administrator, SYSTEM und ERSTELLER-BESITZER).

Wenn du der Gruppe "p_Projekte_ro" bzw. in deinem Fall der Gruppe "Domänen-Benutzer" das Lesen-Recht nur für diesen Ordner ("d:\Firmenname\Projekte") gibst, musst du die Vererbung nicht aufbrechen.

 

Gruß

Jan

bearbeitet 2. September 2020 von testperson