Jump to content

Berechtigungen für neue Verzeichnisstruktur vergeben (Klein-Organisation)


Empfohlene Beiträge

vor 20 Minuten schrieb daabm:

...oder man heute schon daran denkt, daß man mal "smooth" migrieren möchte ohne SID-History :-) Das Argument "Token Size" ist AFAIK eh hinfällig, seit es SID-Compression gibt und ab 2012 die TokenSize per default quasi vervierfacht wurde.

AUDLP wäre aber genauso smooth zu migrieren. Das mit Token Size hängt davon ab, wieviele Ordner und Anwendungen auf der untersten RBAC-Ebene berechtigt sind und ob es gleichzeitig immer noch Applikationen gibt, wo 12K hartkodiert sind. Aber ja, die Anzahl Slots ist signifikanter - da habe ich die eine oder andere Ressourcen-Auslagerung hinter mir, weil an der Struktur nicht zu rütteln war :-) 

bearbeitet von cj_berlin
Link zu diesem Kommentar

Hallo und nochmal danke für die weiteren interessanten Infos.

 

Sorry, ich hatte vergessen zu erwähnen, dass wir nur eine Domäne haben.

 

Bezüglich der anderen Anmerkungen und Fragen möchte ich nochmal daran erinnern, dass wir uns ja für das "7-Ordner-Prinzip" entschieden haben.

Ich erkläre nochmal kurz, wie das Ganze aussehen soll:

 

In der neuen Verzeichnisstruktur wird es im ROOT schon mal 7 Hauptordner geben (Ebene 1). Jeder dieser 7 Ordner hat dann nochmal bis zu 7 Unterverzeichnisse (das ist dann Ebene 2). Und jedes dieser 7 Unterverzeichnisse hat dann wiederum bis zu 7 Unterverzeichnisse (das ist dann Ebene 3). Erst innerhalb dieser bis zu 7 Unterverzeichnisse der Ebene 3 sollen MA selbst Ordner erstellen können und auch Dateien in Ordnern ablegen können.

 

In den ersten 3 Ebenen soll folgendes gelten:

- Admin hat Vollzugriff

- Chefin und 2 Abt.Leiter sollen Ordner und Dateien hinzufügen können (jedoch bei den Abt.Leitern auch hier nach Absprache mit Chefin und Admin). Hier wäre dann wohl das "Ändern"-Recht richtig... oder?

- Innerhalb der 7 Verzeichnisse der 3. Ebene dürfen MA auch Verzeichnisse anlegen, löschen und Dateien einfügen und löschen etc. Offenbar wäre dann ab dieser Ebene auch hier das "Ändern"-Recht das Richtige (??). Diese MA dürfen aber dann für die 2 oberen Ebenen nur "Ordner auflisten" und "Lesen" Rechte haben. Ich hoffe, das läßt sich so machen...

 

Es ist bei diesem System sehr wichtig, dass die ersten 3 Ebenen nicht verändert werden, da es ein vorher ermitteltes und abgesprochenes System gibt. Nur so kann man vermeiden, dass schon nach spätestens einem halben Jahr wieder ein Verzeichnis-Chaos herrscht, wie wir es z.B. in unserer jetzigen Struktur haben, wo jeder MA alles durfte (außer Vollzugriff).

 

Ob ich das Ganze nun mit Domainlokalen-Ordnern UND Globalen Ordnern umsetze ODER z.B. nur mit einer der beiden Arten, ist noch offen.

Gestern habe ich jedenfalls Folgendes gelernt:

 

Berechtigungen in Active Directory am besten in der Domäne auf Basis von domänenlokalen Gruppen setzen. Dadurch ist sichergestellt, dass die Berechtigungsstruktur, zum Beispiel bei Freigaben, nicht jedes Mal geändert werden muss, wenn ein neuer Benutzer Zugriff erhalten soll.

Die Benutzer (MA) in der Domäne sind Mitglied in den globalen Gruppen der Domäne, die Berechtigung über die oben erwähnte domänenlokale Gruppe erhalten. Wenn Benutzer in dieser Struktur Zugriff auf eine Freigabe erhalten sollen, reicht es aus diese in die jeweilige globale Gruppe aufzunehmen, die wiederum Mitglied der domainenlokalen Gruppe ist, mit der die Berechtigungen gesetzt sind.

 

Ich hoffe, ich habe es jetzt so beschrieben, dass man es verstehen kann... sorry wenn das bisher nicht so war.

 

Danke und Grüße,

imebro

bearbeitet von imebro
Link zu diesem Kommentar

Moin,

 

jenseits aller akademischen und technischen Betrachtungen - am Ende ist wichtig, dass ihr mit der Struktur arbeiten könnt. Bei 15 Usern wird auch eine technisch nicht dem Lehrbuch entsprechende Konstellation machbar sein. Ob und wie du DL- oder G-Gruppen einsetzt und ob du mit verschachtelten Gruppen arbeitest, wird darüber hinaus bei eurer Konstellation mit der angestrebten statischen Struktur ziemlich egal sein.

 

Aus Erfahrung zweifle ich, dass das mit der statischen Struktur in der Praxis funktionieren wird. Und ich bin ziemlich sicher, dass man bei so einer kleinen Anwenderschaft Fehler problemlos vor dem Ausbruch des Chaos korrigieren kann, ohne die Umgebung zu verrammeln. Aber probiert es aus, technisch machbar ist es, auf mehreren Wegen.

 

Vor allem wichtig, gerade wenn ihr mit Berechtigungen arbeitet und die Vererbung manipuliert: Sorgt für eine Datensicherung, die so eingerichtet ist, dass sie auch alles sichert. (Ich verweise hier noch mal auf externen Sachverstand.)

 

Gruß, Nils

 

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

du hattest oben erwogen, die Vererbung zu verändern. Das kann einer der Wege sein, das umzusetzen. Kann man machen, nur muss man dann halt wissen, dass die Vererbung nicht wirkt. ;-) Gerade bei der Datensicherung fallen manche dann auf die Nase.

 

Beim Backup ist es vor allem wichtig, dass die Backupsoftware das Backup-Privileg nutzt und dass der zugehörige Dienst-User das zugehörige Privileg auch hat. Falls das böhmische Dörfer sind - siehe oben, externer Sachverstand.

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 11 Stunden schrieb imebro:

7 Hauptordner geben (Ebene 1). Jeder dieser 7 Ordner hat dann nochmal bis zu 7 Unterverzeichnisse (das ist dann Ebene 2). Und jedes dieser 7 Unterverzeichnisse hat dann wiederum bis zu 7 Unterverzeichnisse (das ist dann Ebene 3).

 

Wie viele von den 15 MA noch mal nutzen dann welche dieser knapp 350 Ordner? Wenn jeder "seine" exklusiv verwendet, sind das immer noch 25 Ordner pro MA :-)  Finde den Fehler - und nein, das ist keine Kritik, ich will nur auf Overkill hinweisen.

Link zu diesem Kommentar

Mein Tipp: lasst es.

Wir sind eine etwas größere Stiftung und bereuen die Einführung so einer Ordnerstruktur massiv.

Im Laufe der Zeit ändern sich die Anforderungen und dann geht das Gebastel los.

 

Das nächste Ziel ist jetzt die Migration in ein DMS um die durch die Ordnerstruktur verlorene Flexibilität wieder zu bekommen und den Usern mehr Eigenverantwortung bei den Dokumentenfreigaben zu geben.

 

Windowsdateisysteme sind dafür einfach nicht gemacht.

Problem: vergibst du unten im Baum Rechte, wird das Traversrecht nicht automatisch im Baum vergeben. Bei Novell war das damals so!

 

Zweites Problem: du kannst nicht verhindern, dass User die Ordner ins Nirvana schiebe oder löschen.

Es gibt keine Möglichkeit auf einer Ebene den Leuten Zugang zum Ordner zu geben um darin zu arbeiten und gleichzeitig zu verhindern, dass sie diesen Ordner löschen

bearbeitet von magheinz
Unvollständiger Satz
Link zu diesem Kommentar

@daabm

Es handelt sich bei dieser Vielzahl von Verzeichnissen nicht um Ordner für die MA, sondern um solche, die unsere Arbeitsstruktur wiedergeben.

Wir machen u.a. Eventmanagement, geben Hilfen an Bedürftige und wir machen Fundraising. Dadurch ergibt sich eine so große Struktur.

Aber ich habe ja in meiner Beschreibung auch angegeben, dass die jeweiligen Verzeichnisse BIS ZU 7 Unterverzeichnisse haben können. In manchen Fällen sind es auch nur 3.

Diese Verzeichnisstruktur haben wir gemeinsam entwickelt und das ist die Struktur, in die wir zukünftig Daten ablegen wollen, damit wir sie auch gut wiederfinden.

 

@magheinz

Das mit dem DMS wurde schon mal vorgeschlagen und das ist sicher eine gute Idee.

Es scheitert jedoch bei uns leider an den Kosten. Wir hatten vor einigen Jahren schon mal Angebote der üblichen Verdächtigen "DocuWare", "ecoDMS", und weitere... eingeholt und waren schockiert über die Kosten. Das können wir uns als kleine Stiftung leider nicht leisten, wobei seit mehreren Jahren hier sogar ein Stellenabbau stattfindet aufgrund der Finanzlage.

Aber weiter zu dem Thema bei @ALL.

 

@ALL:

Bezüglich DMS habe ich eben mal schnell in Google nachgtesehen. Da sprang mir "Microsoft 365 Share Point" ins Auge.

Dazu muss ich sagen, dass wir hier bereits ein Abo haben für "MS 365", wo das "Share Point" ggf. integriert ist (muss ich aber noch checken).

Das wäre dann natürlich eine kostenlose Lösung (wenn es im Abo integriert ist). Ich kenne "Share Point" jedoch nicht und weiß daher auch nicht, ob das eine Alternative sein könnte zu einer neuen Verzeichnis-Struktur. Ich kann mir im Moment noch nicht so ganz vorstellen, was man mit "Share Point" überhaupt machen kann.

 

Vielleicht kann das ja mal jemand von Euch kurz erklären und ob das ggf. auch eine Lösung für uns sein könnte.

 

Danke und Grüße,

imebro

Link zu diesem Kommentar
vor 5 Minuten schrieb imebro:

Bezüglich DMS habe ich eben mal schnell in Google nachgtesehen. Da sprang mir "Microsoft 365 Share Point" ins Auge.

Dazu muss ich sagen, dass wir hier bereits ein Abo haben für "MS 365", wo das "Share Point" ggf. integriert ist (muss ich aber noch checken).

Das wäre dann natürlich eine kostenlose Lösung (wenn es im Abo integriert ist). Ich kenne "Share Point" jedoch nicht und weiß daher auch nicht, ob das eine Alternative sein könnte zu einer neuen Verzeichnis-Struktur. Ich kann mir im Moment noch nicht so ganz vorstellen, was man mit "Share Point" überhaupt machen kann.

 

Vielleicht kann das ja mal jemand von Euch kurz erklären und ob das ggf. auch eine Lösung für uns sein könnte.

 

SharePoint kann "alles *". Viele nutzen es 1:1 wie ein Filesystem, was aber nicht so sinnvoll ist! Wenn man SharePoint richtig nutzen möchte sollte man sich vorher Gedanken machen, am besten mit externer Unterstützung.

 

* alles = Dokumentenmanagement, Intranet / Extranet Seiten (Web-Content Management), Suche, Business Intelligence, Plattform für eigenes Anwendungen / Workflows,...

 

Link zu diesem Kommentar

Moin,

 

macht es nicht durch Schnellschüsse noch schlimmer. ;-)

 

SharePoint ist kein DMS. Es war nie eins und wird auch keins werden. Es hat einzelne Funktionen, die man auch in DMS findet. Vor allem ist es erst mal eine Applikationsplattform.

Und ein DMS führt man nicht "mal eben" ein. Wenn ihr schon kein Geld für einen Admin oder Beratung ausgeben wollt, müsst ihr über sowas gar nicht erst nachdenken.

 

Wie schon gesagt: Wenn ihr der Meinung seid, dass euer Ablagekonzept euch hilft, dann probiert es aus. Aber verabschiedet euch von der Idee, dass ihr mit Technik eure organisatorischen Herausforderungen lösen könnt. Das funktioniert nicht, auch wenn ihr noch so viel Technik draufschmeißt. Ernsthaft: Ihr seid 15 Leute, vermutlich alle mit hohem Ausbildungsgrad. Löst eure Herausforderungen auf der organisatorischen Ebene und brecht euch nicht die Finger dabei, technische Hürden aufzubauen.

 

Wäre ich Berater, würde ich ernsthaft noch mal die Frage stellen, ob ihr überhaupt gestaffelte Berechtigungen braucht.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ich habe eben mal recherchiert und auch eine Seite gefunden, die bestätigt, dass Share Point eher nicht geeignet ist als DMS.

Share Point ist kein DMS

 

Es ist nicht so, dass wir kein Geld für ext. Beratung ausgeben WOLLEN... wir können es einfach nicht aufgrund unserer Finanzlage. Das ist ein großer Unterschied.

Wie ich oben ja schon beschrieben habe, benötigen wir die von uns gemeinsam erstellte Verzeichnisstruktur, denn diese bildet all unsere Ablageprozesse ab.

 

Ich denke, ich werde die Berechtigungen über Domainlokale Gruppen in Verbindung mit lokalen Gruppen setzen, wie weiter oben beschrieben.

Bezüglich "Vererbung" habe ich bisher noch keine gute Beschreibung gefunden, die ich soweit verstehen würde, dass ich sie umsetzen könnte.

Es wurde lediglich mal beschrieben, dass man im ROOT am besten allen MA "Vollzugriff" geben und das nach weiter unten dann entsprechend über die Berechtigungen einschränken soll.

Woanders wiederum stand, am besten allen Mitgliedern einer Gruppe Leserechte auf einen übergeordneten Ordner zu erteilen und dann einzelnen Untergruppen zusätzliche Schreibrechte auf bestimmte Unterordner zu gewähren.... Wie Ihr seht, verwirrt das Alles mich noch ;-)

 

Grüße,

imebro

Link zu diesem Kommentar

Moin,

 

gut, auch hier noch mal wiederholt: Wenn es denn wirklich so eine Berechtigungsstruktur sein, richtet man die auch nicht "mal eben" ein. Arbeite dich ein und nimm dir Zeit dafür.

 

Bei eurem Konzept wird es vermutlich nicht funktionieren, alles zuzulassen und darunter einzuschränken. Das müsstet ihr andersrum tun.

 

Eine ganz simple Skizze - ausdrücklich nicht zum Umsetzen 1:1 geeignet:

  • nicht im "Root" (D:\) starten, sondern in einem Ordner (D:\Daten)
  • Eine Datei-Admin-Gruppe definieren, die überall Vollzugriff bekommt (damit man nicht mit einem Administratorkonto arbeiten muss, sonst geht das mit dem Explorer nicht)
  • Die Admin-Gruppe mit Vollzugriff berechtigen, nach unten vererben
  • Weitere Zugriffsgruppen definieren, die überall rannkommen sollen. Diese berechtigen und vererben.
  • Vordefinierte Berechtigungen entfernen, damit nur noch die eigenen drinstehen. Dazu muss man das erste Mal die Vererbung auf dem Startordner abschalten.
  • Wenn es denn wirklich sein muss, dann erst jetzt die Vererbung auf einzelnen Ordnern abschalten und die vorhandenen Berechtigungen übernehmen.
  • Nun auf den Ordnern die dedizierten Zugriffsgruppen berechtigen.

Gruß, Nils

 

Link zu diesem Kommentar

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...