Cryer 17 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 Bislang war die Sache ganz einfach. Ich habe eine OU die nennt sich "Firma1" und eine "Firma2". Darin jeweils die Benutzer und die Globale- und Domäne-Lokale Gruppen. Dann die Ordner entsprechend berechtigen. Fertig. Nun aber gibt es die Situation, dass es eben nicht mehr die Ordner gibt die nur für "Firma1" und "Firma2" relevant sind sondern diverse Teilbereiche. Also muss das Rechtemanagement grundlegend überarbeitet werden. Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. In diesem Beispiel nehmen wir jetzt einfach mal folgende Ordner - Verwaltung - Alle Mitarbeiter lesenden Zugriff, ausgewählte Mitarbeiter schreibend - Buchhaltung - Nur die Leute der Buchhaltung haben lesenden Zugriff, der Rest keinen Zugriff - Personal - Nur die Leute vom Personal haben lesenden Zugriff, der Rest keinen Zugriff - Temp - Alle haben lesenden und schreibenden Zugriff Die Leute sollen aber jeweils in der OU ihrer Firma bleiben, sofern das überhaupt möglich ist, da jeder Firma gewisse Gruppenrichtlinien zugewiesen sind Ich habe irgendwie absolut keine Idee, wie das Active Directory nun auszusehen hat, damit das vernünftig verwaltet werden kann. Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 Schau dir mal AGDLP an. Dieses Konzept sollte sich weiter bringen. 1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. November 2020 Melden Teilen Geschrieben 2. November 2020 vor 2 Stunden schrieb Cryer: Wie muss nun also die Active-Directory-Struktur aussehen, wenn ich beispielsweise nur bestimmte Leute für diverse Ordner berechtigen möchte. Moin Grundsätzlich: AD und OUs sind eines, Berechtigungen auf NTFS-Objekte(Ordner) durch Sicherheitgruppen etwas anderes. Man unterscheide das also. Benutzer sind Mitglieder von Sicherheitsgruppen. Die Berechtigungen(NTFS) auf Ordner haben als nichts mit den OUs zu tun. Wie es @Tesso vor mir schrieb, vor 29 Minuten schrieb tesso: AGDLP ist dein Stichwort. Alles wurde vielfach hier im Forum diskutiert. Hier jetzt alles nochmals durchkauen? Nun, wir werden sehen? Gegebenfalls mache ich mit. :) Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 3. November 2020 Autor Melden Teilen Geschrieben 3. November 2020 (bearbeitet) Danke euch. Ich habe mir direkt ein Video dazu angeguckt. Was haltet ihr davon? Zumindest die ersten 18 Minuten scheinen mir sehr plausibel. Ist das so richtig und stimmt die Struktur im Active Directory so? bearbeitet 3. November 2020 von Cryer Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. November 2020 Melden Teilen Geschrieben 3. November 2020 Moin Ehrlich gesagt, ich sehe mir sowas nicht an, da ich es nicht für mich brauche. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. November 2020 Melden Teilen Geschrieben 3. November 2020 Moin, ich bin auch kein Freund von Videos ... ich hab mir nur ein paar Ausschnitte angesehen, mein Eindruck ist: Der Typ hat es nicht verstanden. Es geht nicht darum, Globale Gruppen mit Domänenlokalen Gruppen zu doppeln, wie er es zeigt. Seine Darstellung geht am Kern vorbei und ist - gemessen am Thema - mindestens teilweise falsch. Ich habe das hier mal so beschrieben, wie es eigentlich gedacht ist - du findest den Link ca. 1000-mal hier im Board: [Windows-Gruppen richtig nutzen | faq-o-matic.net]https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Und zu den Freigabeberechtigungen - das macht er zwar richtig, begründet es aber falsch: [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/ Die AD-Struktur selbst kann man nicht "richtig" oder "falsch" bauen, aber "günstig" oder "weniger günstig". Das hängt von der Administrationsstruktur ab. Wichtig: Bilde nicht das Organigramm ab, sondern die administrativen Anforderungen. Gruß, Nils 3 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 3. November 2020 Melden Teilen Geschrieben 3. November 2020 Moin Ehrlich gesagt, ich sehe mir sowas nicht an, I Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 3. November 2020 Autor Melden Teilen Geschrieben 3. November 2020 Also das Prinzip von AGDLP habe ich schon verstanden (denke / hoffe ich). Es hapert vielmehr an der Umsetzung im AD. Hier mal ein Teilscreenshot aus dem Video. Kann man das so machen oder ist das schon falsch? Er hat eine OU für die Domain Locals und eine OU für die Globals erstellt und packt die dort dann alle entsprechend rein. Wenn das falsch ist, wie sieht es richtig aus? Es geht mir hier rein um die richtige Abbildung im AD. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. November 2020 Melden Teilen Geschrieben 3. November 2020 Moin, Wie ich schon schrieb: richtig oder falsch gibt es da nicht. Das ist eine Frage der Organisation. Man kann das so machen wir in dem Video. Oder anders. Wie groß ist denn die Domäne? Gruß, Nils Zitieren Link zu diesem Kommentar
Cryer 17 Geschrieben 3. November 2020 Autor Melden Teilen Geschrieben 3. November 2020 (bearbeitet) Du meinst wie viele Benutzer? An dem Standort zur Zeit ~15-20 Benutzer bei 10-15 Ordnern. Ist jetzt nicht viel. Hängt damit zusammen, dass wir an einer übergeordneten Organisation angegliedert sind und daher das meiste über eine Citrix-Farm (die ich nicht betreue) läuft. Nur sehr wenig wird noch lokal gemacht. Man weiß aber nie was die Zukunft bringt und deswegen will ich es jetzt gleich richtig aufziehen bzw. umgestalten. Kann ja sein, dass wir uns irgendwann von der übergeordneten Organisation lösen und dann alles selber machen. Dann sind das auf einen Schlag 150 Leute bei was weis ich viel vielen Ordnern und Berechtigungsstufen (schreiben, nur lesen). Daher auch meine anderen Threads. Einen kleinen Teil (der auf unserem RDS arbeitet) ist bereits losgelöst und kann nicht am Citrix-Programm der übergeordneten Organisation teilnehmen. Für meine kleine Umgebung spielt das meiste keine Rolle, aber ich wills eben richtig machen und nicht so "Hauptsache es funktioniert". bearbeitet 3. November 2020 von Cryer Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 3. November 2020 Melden Teilen Geschrieben 3. November 2020 Moin, Auch bei 150 Usern brauchst du keine besonders große Struktur. Ich würde alle User in eine OU stecken. Gruppen in eine separate OU, die Aufteilung nach Globalen und Lokalen Gruppen ist nicht schlecht. Mehr an OUs wirst du kaum benötigen. Und wenn doch, änderst du es halt, sobald es ansteht. Eins der größten Missverständnisse beim AD-Design ist, dass man eine Struktur für die Ewigkeit entwerfen müsse. Muss man nicht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.