Jump to content

Berechtigungen für neue Verzeichnisstruktur vergeben (Klein-Organisation)


Empfohlene Beiträge

Liebe User,

 

wir sind nur eine kleine Organisation mit unter 15 MA!

Ich habe schon immer gerne den Kolleg*innen bei EDV-Problemen etwas geholfen. Aber vor etwa einem Jahr wurde ich quasi von der GF "ins kalte Wasser" geworfen und betreue jetzt so ein bisschen unsere IT, nachdem unser Admin gekündigt wurde. Eigentlich habe ich hier eine ganz andere Aufgabe und jetzt soll es eine neue Verzeichnisstruktur geben.

 

Die Struktur steht bereits und wir haben uns für das "7 Ordner Prinzip" entschieden, wobei es 3 Ebenen gibt mit jeweils 7 Unterordnern.

 

Nun müssen diese Ordner ja auch entsprechende Berechtigungen erhalten.

Vor allem wollen wir, dass in den ersten 3 Ebenen nur 3 Personen neue Verzeichnisse anlegen oder Dateien abspeichern können.

Erst in den 7 Unterordnern der 3. Ebene sollen alle MA auch bestimmte (mehr) Berechtigungen erhalten.

 

Ich habe schon viel dazu gelesen und würde nun gerne wissen, ob mein Ansatz OK ist:

 

- ich dachte, dass hier am besten das AGGP-Prinzip angewendet würde (od. das AGP-Prinzip)

- Ich würde zunächst Globale Gruppen in der AD anlegen. Also z.B. "Ebene 1 ändern", "Ebene 2 ändern", "Ebene 3 ändern"

- in diese Globalen Gruppen kämen dann Untergruppen, wie z.B. "Abt. Finanzen", "Abt. ÖA", Abt. Verwaltung".

  * alternativ könnte man in die Globalen Gruppen auch schon User einsetzen, wobei ich da nicht sicher bin, ob das hier schon geschehen sollte

- Als "G/U" haben wir bereits mehrere Gruppen in der AD. Diese heißen z.B. "USER_Finanzen", "USER_ÖA", "USER_Verwaltung". Diese würde ich weiter nutzen wollen

  * oder wäre es sinnvoller, auch diese neu anzulegen?

- Vererbung: im ROOT würde ich nur List-Rechte vergeben und diese bis ganz nach unten vererben, damit jeder User alle Verzeichnisse mindestens auflisten kann.

   Dann erst weiter unten die Berechtigungen erweitern.

  * hier wäre mir noch nicht so ganz klar, wie ich das technisch umsetzen soll

 

Das wäre mein bisher erdachtes Konzept. Allerdings würde ich auch bei der Umsetzung noch etwas Hilfe benötigen, da ich noch nicht so ganz verstanden habe, wie all das mit den unterschiedlichen Berechtigungen und Gruppen zusammenhängt.

 

Freue mich auf Eure Antworten und Tipps.

 

Schöne Grüße,

imebro

bearbeitet von imebro
Link zu diesem Kommentar

Moin, 

 

Vor allem empfehle ich, es nicht unnötig kompliziert zu machen.. Dieses 7-Ordner-Prinzip etwa klingt für mich eher esoterisch als nützlich. 

 

Braucht ihr denn bei unter 15 Leuten wirklich so eine differenzierte Struktur mit Prinzipien und gestaffelten Berechtigungen? Ich würde mir eher ansehen, wie tatsächlich gearbeitet wird. Bei so einer kleinen Gruppe wird es sicher Ordnungskriterien geben, die sich quasi aufdrängen. Und falls nicht, könnte man mit so einer überschaubaren Gruppe sogar daran denken, die Ablage in einem gemeinsamen Workshop zu erzeugen.

 

Gruß, Nils

Link zu diesem Kommentar

Hallo und danke für Eure Tipps...

 

All diese Gedanken haben wir uns schon in den letzten Wochen gemacht.

Die komplette Verzeichnisstruktur steht bereits (bisher nur auf dem Papier) bis in die 3. Ebene hinein.

Und... wir sind zwar nur eine kleine Stiftung mit knapp 15 MA, aber wir haben eine sehr umfangreiche Struktur.

In den Verzeichnissen werden alle möglichen Arten von Dateien abgelegt... vom Office-Dokument über PDFs, Bilddateien, bis hin zu Videos.

 

Auch haben wir schon die nötigen Zugriffe geregelt.

Auf die ersten 3 Ebenen sollen nur der Admin und 2-3 weitere Personen Zugriff haben. Das sind die Abteilungsleiter*innen und die Chefin.

Die 2-3 Personen sollen am Ende die Berechtigung "Ändern" bekommen, damit sie Verzeichnisse anlegen können, aber keinen Vollzugriff.

Die restlichen MA sollen als grundsätzliches Recht im kompletten Verzeichnisbaum (also ab ROOT) die Berechtigung "Ordnerinhalt Anzeigen" bekommen und dann in den 3 Ebenen zusätzlich noch "Lesen, Ausführen" und "Schreiben". Sie sollen keine Verzeichnisse erstellen können und auch keine Dateien in der obersten Region der 3 Ebenen abspeichern können.

 

Das wäre mal so grob das, was ich gerne umsetzen würde.

 

Hierzu würde ich nun gerne noch wissen, wie ich da am besten vorgehe.

- Also in der AD des Servers neue (globale) Grupen erstellen, die die entspr. Rechte haben (od. ggf. schon vorhandene Gruppen nutzen und anpassen)?

- Und ggf. auch "G/U" Gruppen (USER_Finanzen, USER_Verwaltung...).

 

Und... wie mache ich das mit der Vererbung?

 

Danke und Grüße,

imebro

bearbeitet von imebro
Link zu diesem Kommentar

Moin,

 

wie man die Gruppen anlegt, ist in dem oben verlinkten Artikel zu AGDLP dargestellt. Das Prinzip ist eigentlich einfach. Und wenn ihr meint, dass ihr das organisatorisch schon geklärt habt, dann sollte das damit auch leicht umsetzbar sein.

 

Aus meiner Erfahrung ist sowas aber kein Selbstläufer, wie die Kollegen ja auch sagen. Stellt euch auf Aufwand in der Einführung ein und legt rechtzeitig fest, wie ihr mit konzeptionellen Änderungen umgehen wollt. Glaubt nicht, dass ihr mit der technischen Implementierung "fertig" seid, sowas ist ein echter Change, der begleitet gehört.

 

Ich wünsche (ernsthaft) viel Erfolg.

 

Gruß, Nils

 

Link zu diesem Kommentar

OK und danke für die weiteren Tipps.

 

Ich habe jetzt die Inhalte aller Links durchgearbeitet und bin schon ein wenig schlauer.

Ich möchte aber nochmal betonen, dass ich KEIN glernter Admin bin... das aber nun dennoch umsetzen muss.

Der Admin wurde vor rund einem Jahr gekündigt und bis dahin hatte ich kaum mal was mit den Servern zu tun... bin also hier recht unbedarft :-)

Deshalb brauche ich vielleicht etwas mehr Hilfe, als es normalerweise der Fall wäre.

 

Nachdem ich eben viel über "Globale Gruppen" und "Domain-Lokale Gruppen" etc. gelesen und das Grundprinzip schon ein wenig besser verstanden habe, habe ich mir eben mal die jetzige AD angeschaut.

 

Mir ist noch nicht klar, ob ich in unserem Fall (16 MA) nun besser "Globale Gruppen" nutzen soll oder "Domain-Lokale" Gruppen.

 

In unserer AD sind massenhaft!! Gruppen vorhanden. U.a. auch solche mit z.B. dem Namen "Mitarbeiter", wo alle MA drin stehen und wo wiederum Berechtigungen gesetzt sind für weitere Gruppen UND MA. Ich würde sagen, dass es ein ziemliches Durcheinander ist, was mehrere Generationen von Admins in den letzten 25 Jahren dort veranstaltet haben...

 

Nochmal kurz zu meinem Eingangspost und der Bemerkung von @daabm:

 

Ich meinte tatsächlich das "AGGP-Prinzip". Darüber hatte ich gelesen, dass dieses für kleine Unternehmen besser geeignet wäre... also solche unter 50 MA.

Hier steht was dazu (ab Nr. 5):

zum AGGP-Prinzip

 

Wenn ich die grundlegenden Dinge mal komplett verstanden habe, kann ich das sicher auch umsetzen. Jetzt bin ich zwar ein gutes Stück weiter mit Eurer Hilfe, aber ein paar Dinge fehlen halt noch ;-)

 

Grüße,

imebro

bearbeitet von imebro
Link zu diesem Kommentar

Moin,

 

wir können hier im Forum nicht dazu beitragen, eure Struktur aufzuräumen und geradezuziehen. Ich empfehle, dass ihr euch einen Dienstleister sucht. Auch bei einer 15-Mann-Firma ist es keine gute Idee, wenn jemand ohne Fachkenntnisse die IT so nebenbei mitmacht.

 

vor einer Stunde schrieb imebro:

Mir ist noch nicht klar, ob ich in unserem Fall (16 MA) nun besser "Globale Gruppen" nutzen soll oder "Domain-Lokale" Gruppen.

 

Beides. Die Gruppentypen haben unterschiedliche Aufgaben.

 

DL-Gruppen steuern die Berechtigungen. Eine Gruppe pro Berechtigung und Ordner.

  • Beispiel: Ordner "Projekt", es sollen Lese- und Vollzugriffsrechte verwaltet werden.
  • Also zwei DL-Gruppen:
    • DL-Projekt-Lesen
    • DL-Projekt-Vollzugriff
  • Diese beiden Gruppen erhalten jeweils die Rechte, die ihrem Namen entsprechen.
  • Danach muss man (prinzipiell) die Berechtigungen des Ordners nie wieder anfassen.

G-Gruppen fassen die User logisch zusammen. Die G-Gruppe, die einen bestimmten Zugriff braucht, wird in die passende DL-Gruppe aufgenommen.

  • Im Beispiel: Die Projektleiter sollen Vollzugriff haben, die Techniker sollen lesen.
  • Gruppe "G-Projektleiter" wird Mitglied von DL-Projekt-Vollzugriff
  • Gruppe "G-Techniker" wird Mitglied von DL-Projekt-Lesen

 

vor einer Stunde schrieb imebro:

Ich meinte tatsächlich das "AGGP-Prinzip".

 

Das gibt es so nicht. Das hat sich jemand ausgedacht.

Edit: Ach, ich seh grad ... jaja, die Firma Migraven. Die haben sehr eigene Interpretationen der Materie. Und sie haben das Prinzip nicht verstanden. :lol3: Es gibt einen Grund, warum man für die logische Gruppierung G-Gruppen verwendet und für Berechtigungen DL-Gruppen.

Den Artikel würde ich ignorieren.

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Vielen Dank Dir @NilsK

 

OK, den Artikel von "Migraven" werde ich dann ignorieren ;-)

Deine Erklärung und vor allem das Beispiel haben es mir schon sehr gut verständlich erklärt.

Ich denke, ich habe das Grundprinzip nun verstanden...

 

Mit dem IT-Dienstleister war auch mein Vorschlag vor längerer Zeit. Leider fehlt uns offenbar das Geld dazu (ja, klingt bescheuert und so denken wir Alle hier).

 

Wenn Du (oder sonst Jemand) mir jetzt noch kurz erklären kann, wie ich das mit der Vererbung realisieren soll bei einem ROOT mit 3 Verzeichnisebenen darunter, dann wäre ich sehr froh ;-) Denn da habe ich noch nicht verstanden, von wo aus ich da überhaupt die Vererbung aktivieren soll. Vom ROOT nach unten (mit welchen Rechten dann?) und wie dann weiter in die 3 nächsten Ebenen?

 

Danke & Grüße,

imebro

bearbeitet von imebro
Link zu diesem Kommentar

Moin,

 

nun ... was ihr euch zu den Berechtigungen ausgedacht habt, hat mich ja zu meiner Frage veranlasst, ob ihr euch das Leben nicht unnötig kompliziert macht.

 

Wenn ich es richtig sehe, unterscheidet ihr für den ganzen Verzeichnisbaum nur zwei Zugriffsstufen: Die Chefin und die Leiterinnen sollen andere Rechte haben als alle anderen. Wobei mir völlig unklar ist, worin sich die Rechte unterscheiden - die eine Gruppe soll Ändern-Rechte haben, die andere solle Lesen und Schreiben dürfen, was in der Kombination effektiv dasselbe ist. Womöglich unterscheidet ihr, wer Ordner anlegen darf und wer nur Dateien - aber spätestens das halte ich für völlig unpraktikabel. Soll man jedes Mal, wenn es Bedarf für einen neuen Ordner gibt, die Chefin involvieren? Und was ist an Ordnern so schlimm, dass man es reglementieren muss? Ist es am Ende nicht einfacher, dann und wann mal Dateien an die richtige Stelle zu schieben als sich ein organisatorisch wie technisch komplexes und fehleranfälliges Konstrukt zu bauen?

 

Wäre ich Chef, würde ich euch noch mal zum Denken zurückschicken. ;-)

 

Man kriegt das zur Not hin, es per Vererbung so einzurichten. Aber das bekommt man in einem Forum nicht sinnvoll erklärt, weil es schon ziemlich komplex ist und man einiges über die Windows-Strukturen wissen muss. Wenn du es wirklich selbst machen willst, dann musst du dich da wohl einarbeiten, nimm dir dafür ein Spielsystem. Und bau es nicht mit dem Explorer, sondern mit einem spezialisierten Tool wie diesem hier:

 

[SetACL Studio - Free & Intuitive Permission and ACL Management • Helge Klein]
https://helgeklein.com/setacl-studio/

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

erlaubt mir bitte kurz akademisch zu werden und zwei Dinge gerade zu rücken.

 

Wenn ich den MigRaven-Artikel noch richtig im Kopf habe, hat "G" dort eine andere Bedeutung als in "AGDLP" und steht einfach nur für "Gruppe", den Scope soll der geneigte Implementierer jeweils selbst ausrechnen.

 

Und das ist auch gut so, denn:

  1. in einem einzelnen Forest mit nur einer Domain (und davon würde ich in dem vorliegenden Fall mal ausgehen wollen, obwohl es tatsächlich im OP nicht drin steht) haben globale Gruppen als Berechtigungsgruppen NULL Nachteile gegenüber den DL-Gruppen. Gleicher Anteil an Token Size, gleiche Member sind möglich, gleiche Berechtigungen sind möglich. Tatsächlich ist es in einem einzelnen Forest mit nur einer Domain vollkommen wurscht, welcher Gruppen-Scope genommen wird. Und bei 2008R2 und früher hatten die DL-Gruppen sogar einen HÖHEREN Beitrag zur Token-Größe als globale Gruppen!
  2. in einem einzelnen Forest mit mehreren Domains (und ich meine nicht die Abscheulichkeit "leere Root-Domain + eine einzige signifikante Child-Domain") ist DL als Permission-Gruppe zwar zu bevorzugen, weil die nicht in allen Tokens enthalten sein wird, aber in Bezug auf Rollengruppen kann AUDLP eine echte Alternative sein. Früher hatten wir immer Angst, ein Objekt mehr in den globalen Katalog zu drücken, aber die Zeiten sind vorbei, und gerade die Rollengruppen können im GC durchaus nützlich sein. So viele werden's normalerweise nicht werden.
  3. so richtig passend ist AGDLP also nur in einem Szenario, wo zugreifende User in mehreren Forests vorhanden sind, diese Forests aber alle aus jeweils einer Domain bestehen. Und, obwohl das tatsächlich ein besseres Design ist als die gleiche Anzahl Domains in einem Forest verklebt, ist es eher nicht der Standardfall, zumindest in meiner Erfahrung.
bearbeitet von cj_berlin
Link zu diesem Kommentar
vor 18 Minuten schrieb cj_berlin:

richtig passend ist AGDLP also nur in einem Szenario, wo zugreifende User in mehreren Forests vorhanden sind, diese Forests aber alle aus jeweils einer Domain bestehen.

...oder man heute schon daran denkt, daß man mal "smooth" migrieren möchte ohne SID-History :-) Das Argument "Token Size" ist AFAIK eh hinfällig, seit es SID-Compression gibt und ab 2012 die TokenSize per default quasi vervierfacht wurde.

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...