Hallo!

Wie handhabt Ihr die Rechtevergabe auf einem Filserver? Oder viel mehr, wie behaltet Ihr den Überblick?

Grundlegend werden/sollten die User ja in Gruppen gefasst, welche z.B. die Betriebstruktur (Einkauf, Verkauf, Geschäftsführung, usw)
abbilden. Diese Gruppen werden dann entsprechenden Unterordner auf der Fileserver-Freigabe zugewiesen. Darin können sich dann die
einzelnen Abteilungen austoben.

Irgendwann kommt aber der Fall, das Benutzer X aus Gruppe Einkauf unbedingt Zugriff auf eine Datei/Ordner der Gruppe Verkauf
braucht, aber nur auf diese(n) zugreifen soll. Er könnte ja sonstwas machen. Spätestens nach 3-5 solcher Sonderwünsche ist dann
Chaos ausgebrochen und keiner hat mehr den Überblick.

Tätigt man nun eine Änderung oben im Dateisystem und läßt diese durchvererben, so sind die "Einzelfreigaben" Geschichte und das
Telefon klingelt "Ich kann nicht mehr auf meine Datei zugreifen".

Hab ich da einen grundlegenden Denkfehler?

Chris

Hi,

Am 26.10.2009 16:16, schrieb Christian Stelte:
> [...] Irgendwann kommt aber der Fall, das Benutzer X aus Gruppe Einkauf
> unbedingt Zugriff auf eine Datei/Ordner der Gruppe Verkauf braucht, aber
> nur auf diese(n) zugreifen soll. Er könnte ja sonstwas machen.
> Spätestens nach 3-5 solcher Sonderwünsche ist dann Chaos ausgebrochen
> und keiner hat mehr den Überblick.

Dafür gibt es dann Sicherheitsgruppen nach Schema:
Resource_lesen und Resource_schreiben

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

On Mon, 26 Oct 2009 16:26:32 +0100, Mark Heitbrink [MVP] wrote:

>> [...] Irgendwann kommt aber der Fall, das Benutzer X aus Gruppe Einkauf
>> unbedingt Zugriff auf eine Datei/Ordner der Gruppe Verkauf braucht, aber
>> nur auf diese(n) zugreifen soll. Er könnte ja sonstwas machen.
>> Spätestens nach 3-5 solcher Sonderwünsche ist dann Chaos ausgebrochen
>> und keiner hat mehr den Überblick.
>
> Dafür gibt es dann Sicherheitsgruppen nach Schema:
> Resource_lesen und Resource_schreiben

Vielleicht steh ich im Moment auch auf der Leitung aber das hab ich noch
nie gehört. Wo solls die geben?

Bye Tom
--
"One good Whiskey a day, keeps the doctor away"

Thomas Wildgruber schrieb:

> On Mon, 26 Oct 2009 16:26:32 +0100, Mark Heitbrink [MVP] wrote:
>
>>> [...] Irgendwann kommt aber der Fall, das Benutzer X aus Gruppe Einkauf
>>> unbedingt Zugriff auf eine Datei/Ordner der Gruppe Verkauf braucht, aber
>>> nur auf diese(n) zugreifen soll. Er könnte ja sonstwas machen.
>>> Spätestens nach 3-5 solcher Sonderwünsche ist dann Chaos ausgebrochen
>>> und keiner hat mehr den Überblick.
>>
>> Dafür gibt es dann Sicherheitsgruppen nach Schema:
>> Resource_lesen und Resource_schreiben
>
> Vielleicht steh ich im Moment auch auf der Leitung aber das hab ich noch
> nie gehört. Wo solls die geben?

Selbst erstellen ist vermutlich damit gemeint.

Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste

Hi,

Am 26.10.2009 17:00, schrieb Thomas Wildgruber:
>> Dafür gibt es dann Sicherheitsgruppen nach Schema:
>> Resource_lesen und Resource_schreiben
> Vielleicht steh ich im Moment auch auf der Leitung aber das hab ich noch
> nie gehört. Wo solls die geben?

Bei mir und vielen anderen auch.
Mir ist doch egal, ob es eine Abteilung "Verkauf" gibt, oder "Lager".
Ich habe auf dem Server Resourcen und Daten auf die man zugreift
und die sind sortiert nach Gruppen, die diese Lesen oder Ändern
dürfen. Damit existieren bei mir keine Überschneidungen, da es nur
die Resource gibt und auf die darf der User entweder zugreifen
oder nicht.

Wenn es dann "unterhalb" der Resource zu Ausnahmen kommen muss, dann
gibt es halt eine weitere Resource, entweder als eigene Freigabe
oder nicht und die teile ich wieder in Lesen und schreiben, bzw.
füge zu den vorhandenen Berechtigungen 2 weitere hinzu.

Dein User kann Mitglied in 1014 Gruppen sein, nutze das! ;-)

Tschö
Mark

--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

On Mon, 26 Oct 2009 17:07:57 +0100, Winfried Sonntag [MVP] wrote:

>>>> [...]
>>> Dafür gibt es dann Sicherheitsgruppen nach Schema:
>>> Resource_lesen und Resource_schreiben
>>
>> Vielleicht steh ich im Moment auch auf der Leitung aber das hab ich noch
>> nie gehört. Wo solls die geben?
>
> Selbst erstellen ist vermutlich damit gemeint.

Ah okay ... und wie weiter? Ich kann zwar das Problem des OPs sehr gut
nachvollziehen aber mit der Umsetzung von Marks Lösungsvorschlag habe ich
so meine Probleme.

Soll für jede Datei, die ausserplanmäßig erweiterte ACLs benötigt eine
Gruppe angelegt werden, die dann dem Schema vom Mark entspricht? Also zB
R_Urlaubsliste.global für eine nur lesend freigegebene Exceltabelle? Dann
so mit der lokalen Gruppe, wo die globale Gruppe Mitglied ist und der ganze
Schnikschnak?

Bye Tom
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)

* Christian Stelte (Mon, 26 Oct 2009 16:16:17 +0100)
>
> Wie handhabt Ihr die Rechtevergabe auf einem Filserver? Oder viel mehr, wie behaltet Ihr den Ãœberblick?
>
> Grundlegend werden/sollten die User ja in Gruppen gefasst, welche z.B. die Betriebstruktur (Einkauf, Verkauf, Geschäftsführung, usw)
> abbilden. Diese Gruppen werden dann entsprechenden Unterordner auf der Fileserver-Freigabe zugewiesen. Darin können sich dann die
> einzelnen Abteilungen austoben.
>
> Irgendwann kommt aber der Fall, das Benutzer X aus Gruppe Einkauf unbedingt Zugriff auf eine Datei/Ordner der Gruppe Verkauf
> braucht, aber nur auf diese(n) zugreifen soll. Er könnte ja sonstwas machen. Spätestens nach 3-5 solcher Sonderwünsche ist dann
> Chaos ausgebrochen und keiner hat mehr den Ãœberblick.

Wieso? Das musst du natuerlich dokumentieren. Wenn es ueberhand nimmt,
dann sollte man mit der Abteilung reden, da die Person offensichtlich
Rechte von beiden benoetigt und dann auch in beiden Gruppen sein sollte.

> Tätigt man nun eine Änderung oben im Dateisystem und läßt diese durchvererben, so sind die "Einzelfreigaben" Geschichte und das
> Telefon klingelt "Ich kann nicht mehr auf meine Datei zugreifen".

Es gibt kein "durchvererben". Die Rechte werden mit denen die du manuell
setzt, kombiniert. Aenderungen "oben" haben also keine Auswirkung (es
sei denn du setzt explizit "No Access".

Thorsten

Hi,

Am 26.10.2009 17:29, schrieb Thomas Wildgruber:
> Soll für jede Datei, die ausserplanmäßig erweiterte ACLs benötigt eine
> Gruppe angelegt werden, die dann dem Schema vom Mark entspricht?

Ja. Nein. Es ist wie immer: Wenn du zuviele Ausnahmen definieren
musst, dann ist dein Grundkonstrukt der ORdner und Dateien
flasch organisiert. Blöder Satz, aber: "Form follows function".

> Also zB R_Urlaubsliste.global für eine nur lesend freigegebene Exceltabelle?

Schon mal über ein Webinterface nachgedacht oder andere Darstellungs-
oder Verlinkungsmöglichkeiten?

> Dann so mit der lokalen Gruppe, wo die globale Gruppe Mitglied ist
> und der ganze Schnikschnak?

Denn musst/kannst du ja nur aus Replikationsgründen so organisieren.
Innerhalb eienr DOmain ist das Wurst.

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

On Tue, 27 Oct 2009 08:46:59 +0100, Mark Heitbrink [MVP] wrote:

>> Soll für jede Datei, die ausserplanmäßig erweiterte ACLs benötigt eine
>> Gruppe angelegt werden, die dann dem Schema vom Mark entspricht?
>
> Ja. Nein. Es ist wie immer: Wenn du zuviele Ausnahmen definieren
> musst, dann ist dein Grundkonstrukt der ORdner und Dateien
> flasch organisiert. Blöder Satz, aber: "Form follows function".

Irgendwo hat jedes Konzept seine Schwachpunkte, das wird sich nicht
vermeiden lassen. Die Organistaion der Ausnahmen in Gruppen hat halt den
Vorteil, dass man im (AD) User die Gruppenzugehörigkeit ermitteln kann.

Damit ist zumindest mal ein Teil der Anforderung des OPs abgedeckt.

>> Also zB R_Urlaubsliste.global für eine nur lesend freigegebene Exceltabelle?
>
> Schon mal über ein Webinterface nachgedacht oder andere Darstellungs-
> oder Verlinkungsmöglichkeiten?

Nein, ich hab das Problem aber auch nicht ;-)

>> Dann so mit der lokalen Gruppe, wo die globale Gruppe Mitglied ist
>> und der ganze Schnikschnak?
>
> Denn musst/kannst du ja nur aus Replikationsgründen so organisieren.
> Innerhalb eienr DOmain ist das Wurst.

Ah okay, das mache ich immer noch so seitdem ich NT4 Domänen administriert
habe. Ganz automatisch, ohne darüber nachzudenken... ;-)

Bye Tom
--
"One good Whiskey a day, keeps the doctor away"