Netz-Freigaben

[Frank 10]

Hi zusammen!

 

Nur mal zu meinem Verständnis, ob ich richtig vorgehe...

 

Ich habe auf dem Server ein paar Verzeichnisse die im Netzwerk freigegeben und per Script an die Domänenbenutzer gemappt sind. Die Dom-Benutzer haben keine Netzwerkumgebung und können nur auf die gemappten Laufwerke zugreifen. Allerdings geht können sie von Office (öffnen dialog) auf alle Freigaben zugreifen, da die berechtigung für jedes verzeichnis auf Domänenbenutzer lesen steht.

 

Da es scheinbar keine Möglichkeit gibt, diese restlichen Freigaben auszublenden möchte ich nun erreichen, das die Benutzer wenigstens nicht das VZ lesen können was sie nix angeht, sondern nur ihr eigenes VZ.

 

Mein Plan ist, Sicherheitsgruppen anzulegen, die Teilnehmer dort einzuordnen und die Freigaben nicht auf Domänenbenutzer sondern auf Sicherheitsgruppen zu setzen. Eigentlich müsste das doch so funktionieren?

 

Obwohl es mir lieber wäre, wenn jemand ne Idee hätte die Netzwerkumgebung auch im Öffnen/Speichern Dialog von Office auszublenden...

 

Danke schonmal

[Red Sector 10]

Hallo Frank,

 

Sicherheitsgruppen sind das einzig Wahre!

Du wirst es nie schaffen, alle Hintertürchen aus den Anwendungen zu entfernen und nur eine Sicherheitsgruppe bietet Dir das was der Name schon sagt: Sicherheit.

 

Ich würde das ganze nicht über Freigabeberechtigungen, sondern über NTFS Rechte regeln.

 

RS

[dasjonken 10]

Hallo Frank!

Ob man die Netzwerkumgebung im Office ausblenden kann, weiß ich leider auch nicht, aber wenn Du mit Berechtigungen arbeitest, sollte man das eigentlich folgendermaßen tun:

Man legt lokale Domänengruppen an, denen Du die Berechtigung auf die Ressource erteilst, also z.B. Gruppe Lesen, Gruppe Ändern usw.

Des weiteren erstellst Du globale Gruppen und steckst die jenigen Benutzer darein, die auf die gleichen Laufwerke Zugriff haben. Jetzt einfach die globalen Gruppen in die lokalen Gruppen rein und fertig.

[Frank 10]

@ Red Sector

 

Will ich ja auch tun, das Ding war halt so vorkonfiguriert und es gab auch keine Probleme bisher, trotzdem möchte ich das ändern, also werd ich mal anfangen sicherheitsgruppen zu basteln.

 

Habe in ungefähr folgende Struktur im AD

 

Domänenbenutzer

|

--- Teilnehmer

|

--- OU1

--- OU2

 

In den OU´s natürlich die Domänenbenutzer...

 

Wo pack ich denn die Sicherheitsgruppen hin? In die OU´s oder wohin am besten?

 

@ dasjonken

 

Wieso muss ich mit lokalen und globalen Gruppen arbeiten? Wo ist der Unterschied im Geltungsbereich? Reicht es nicht eine neue globale Gruppe anzulegen, die Benutzer reinzutun und dieser Gruppe dann die Sicherheitsberechtigungen für den Ordner zuzuweisen?

[dasjonken 10]

Hallo Frank!

Der Grund ist die vereinfachte Administration. Was auch immer passieren mag, die Gruppen, die Lesen und Ändern-Rechte garantieren bleiben ja immer gleich. Allerdings können sich die Gruppen, die Du ja eigentlich berechtigen willst, ändern, gelöscht werden usw. Das wirkt sich dann aber nicht auf die eigentlichen Berechtigungen aus. Lokale Domänengruppen (nicht zu verwechseln mit den lokalen Gruppen einer Arbeitsgruppe) eignen sich für die Berechtigungen besonders gut, da Du sie in der Domäne, in der sie erstellt wurden einsetzten kannst und darüberhinaus alle anderen Gruppen im ganzen Forest Mitglied werden können. Das gilt für globale Gruppen nur eingeschränkt.

Ich hoffe, ich habe es einigermaßen verständlich erklärt.

Für die neuen Gruppen würde ich eine neue OU erstellen, denn dann hast Du sie alle zusammen und bist nicht davon abhängig, in welcher OU die Benutzer sich befinden, denn das könnte sich ja mal ändern.

[gr@mlin 10]

hi,

 

eigentlich reicht es, globale gruppen anzulegen und diesen die rechte zu erteilen. aber damit handelt man nicht nach der aglp-Strategie.

 

a = account

g = globale gruppe

l = lokale gruppe

p = permissions

 

user -> in globale gruppe -> in lokale gruppe -> berechtigungen

 

das aglp-modell ist auf jeden fall bei grösseren domänen(strukturen) sinnvoll und übersichtlicher.

 

übrigens: deine neuen sicherheitsgruppen packst du am besten dahin, wo es dir am sinnvollsten und am übersichtlichsten erscheint. denn du musst damit täglich arbeiten.

 

gruss, gr@mlin

[Red Sector 10]

übrigens: deine neuen sicherheitsgruppen packst du am besten dahin, wo es dir am sinnvollsten und am übersichtlichsten erscheint. denn du musst damit täglich arbeiten.

 

Dem würde ich mich anschließen.

 

Auch die AGLP (heißt ja jetzt A G DL P) Strategie hat sich in der Praxis bestens bewährt. Es erscheint am Anfang etwas umständlich, aber Du kannst damit sämtliche Berechtigungen über Gruppenmitgliedschaften regeln, anstatt die ACLs der Ressourcen bearbeiten zu müssen.

Auch kleine Netze werden vielleicht mal größer und wenn Du es Dir falsch angewöhnt hast ist es dann zu spät, um die Strategie umzustellen.

 

RS

[Frank 10]

Danke für die Tipps!

 

Dann werd ich mal ein paar Gruppen basteln, damit könnt ich mir ja dnn theologisch auch die GPO´s für die einzelnen OU´s sparen und die den Gruppen zuordnen.

Zwar etwas umständlicher aber besser wenns Netz wächst, denk ich!

[gr@mlin 10]

hi,

 

Dann werd ich mal ein paar Gruppen basteln, damit könnt ich mir ja dnn theologisch auch die GPO´s für die einzelnen OU´s sparen und die den Gruppen zuordnen.

seit wann wirken denn gpos auf gruppen? und dann noch theologisch? ;)

 

gruss, gr@mlin

[Frank 10]

Ne, meinte das nicht direkt,

 

sondern die GPO´s für ne OU und in dieser die Sicherheitsgruppen, dann wirken doch die GPO´s auf die Mitglieder der gruppe, oder?

[gr@mlin 10]

gpo heisst zwar so schön "gruppenrichtlinie" - aber wirkt nun mal nicht auf gruppen!

[Frank 10]

Stimmt, habs mal ausprobiert!

 

Also müsst ich meine Benutzer doch in OU´s lassen damit die Richtlinien wirken, nur extra in Sicherheitsgruppen packen um die Berechtigungen für die Verzeichnisse zu setzen...

Viel Arbeit

[gr@mlin 10]

yep, genau so - viel spass! :)

[Frank 10]

Ok, Danke!

 

Belohnungs-Kaffee für Alle!! :D