6
Rechte für Dateiaustausch zwischen Abteilungen
Hallo zusammen,
da wir uns in laufe des Jahres einen neuen Fileserver zulegen wollen, bin ich im Vorfeld dabei eine neue Verzeichnisstruktur aufzubauen. Dazu kommen dann die Berechtigungen.
Neben den Ordnern für die Abteilungen gibt es noch Ordner, die für alle zugänglich und beschreibbar sind.
Beispiel:
- Allgemeines (alle ändern)
- IMS (alle lesen)
- Abteilung 1 (Abt. 1 Zugriff)
- Abteilung 2 (Abt. 2 Zugriff)
Im Moment stehe ich vor folgenden Problemen:
Eine Abteilung will Informationen einer anderen Abteilung zur Verfügung stellen.
Eine Abteilung will Informationen einer Person außerhalb der Abteilung zur Verfügung stellen.
Dabei soll vermieden werden, dass die abteilungsfremden Personen die Ordnerstruktur sehen können. Dies erreiche ich durch Listfolder-Rechte auf dem Hauptordner und AccessEnum. Der Austauschordner ist auch immer bei der Abteilung mit weniger Sicherheitsrelevanz. Z.B kopiert Buchhaltung nach Vertrieb und Personal nach Buchhaltung.
Mich würde interessieren, ob es hier noch eine andere vielleicht günstigere Lösung gibt. Desweiteren, wie ihr die einzelnen Personen organisiert. Eine Gruppe ist Pflicht, aber mit der Namensgebung tue ich mich immer noch etwas schwer.
Technik:
Windows 2003 Domäne
alter Fileserver Windows 2003
neuer Fileserver Windows 2008 R2
Clients XP bis Win7 und 2003-TS.
In diesem Sinne schon mal danke fürs antworten.
Centauri
da wir uns in laufe des Jahres einen neuen Fileserver zulegen wollen, bin ich im Vorfeld dabei eine neue Verzeichnisstruktur aufzubauen. Dazu kommen dann die Berechtigungen.
Neben den Ordnern für die Abteilungen gibt es noch Ordner, die für alle zugänglich und beschreibbar sind.
Beispiel:
- Allgemeines (alle ändern)
- IMS (alle lesen)
- Abteilung 1 (Abt. 1 Zugriff)
- Abteilung 2 (Abt. 2 Zugriff)
Im Moment stehe ich vor folgenden Problemen:
Eine Abteilung will Informationen einer anderen Abteilung zur Verfügung stellen.
Eine Abteilung will Informationen einer Person außerhalb der Abteilung zur Verfügung stellen.
Dabei soll vermieden werden, dass die abteilungsfremden Personen die Ordnerstruktur sehen können. Dies erreiche ich durch Listfolder-Rechte auf dem Hauptordner und AccessEnum. Der Austauschordner ist auch immer bei der Abteilung mit weniger Sicherheitsrelevanz. Z.B kopiert Buchhaltung nach Vertrieb und Personal nach Buchhaltung.
Mich würde interessieren, ob es hier noch eine andere vielleicht günstigere Lösung gibt. Desweiteren, wie ihr die einzelnen Personen organisiert. Eine Gruppe ist Pflicht, aber mit der Namensgebung tue ich mich immer noch etwas schwer.
Technik:
Windows 2003 Domäne
alter Fileserver Windows 2003
neuer Fileserver Windows 2008 R2
Clients XP bis Win7 und 2003-TS.
In diesem Sinne schon mal danke fürs antworten.
Centauri
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 185490
Url: https://administrator.de/contentid/185490
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Hi.
Du solltest genauer beschreiben, was die andere Abteilung sehen soll und ob Daten aus der Struktur kopiert werden (an einen anderen einsehbaren Ort) oder ob die Struktur selbst genutzt werden soll.
Denkbar ist, Transferverzeichnisse zu bauen
Abt1_Abt2 (Abteilung 1 darf hier für Abt2 ablegen und nur diese beiden dürfen dort lesen), A1_A3, A2_A3,... usw.
Beschreib Deine Lösung noch deutlicher und dazu, was daran nicht optimal ist.
Du solltest genauer beschreiben, was die andere Abteilung sehen soll und ob Daten aus der Struktur kopiert werden (an einen anderen einsehbaren Ort) oder ob die Struktur selbst genutzt werden soll.
Denkbar ist, Transferverzeichnisse zu bauen
Abt1_Abt2 (Abteilung 1 darf hier für Abt2 ablegen und nur diese beiden dürfen dort lesen), A1_A3, A2_A3,... usw.
Beschreib Deine Lösung noch deutlicher und dazu, was daran nicht optimal ist.
Hallo DerWoWusste,
ok, dann machen wir mal ein konkretes Beispiel:
Die Abteilung Buchhaltung möchte Kontoauszüge einer oder mehrere Personen aus einer anderen Abteilung z.B. Technik zur Verfügung stellen. Dies soll nicht per eMail geschehen, da dort durch Weiterleitungen auch Personen ohne Erlaubnis diese Kontoauszüge sehen könnte. Also werden die einem einem Ordner abgelegt. Die Frage ist jetzt, wo sollte diese Ordner liegen. Bei der Buchhaltung, bei der Technik oder in einem separaten Ordner.
Aus dem Bauch raus würde ich das im Ordner der Technik speichern, da Technik weniger geschäftsrelevante Daten hat. Vom Arbeitsaufwand für die Mitarbeiter wäre der Ordner besser bei der Buchhaltung, da diese den Inhalt verwalten muss.
Da solche Konstellationen in der Vergangenheit öfter auftraten und auch noch komplexer waren, tue ich mich da ziemlich schwer eine brauchbare Lösung zu finden.
Komplexer wird es z.B., wenn auf einzelne Dateien zugegriffen werden muss. Gerade bei Office ist das dann oft ein Problem, wegen den temporären Dateien. Hier habe ich in der Vergangenheit diese Dateien per Skript in einen neuen Ordner kopiert, auf dem dann entsprechende Rechte waren. Das wird dann aber zum Jahreswechsel immer recht aufwendig mit dem anpassen der Dateinamen. Einfach war in diesem Fall, dass die Nutzer nur Leserechte brauchten.
Ich hoffe, ich konnte mein Problem etwas veranschaulichen.
Gruß
Centauri
ok, dann machen wir mal ein konkretes Beispiel:
Die Abteilung Buchhaltung möchte Kontoauszüge einer oder mehrere Personen aus einer anderen Abteilung z.B. Technik zur Verfügung stellen. Dies soll nicht per eMail geschehen, da dort durch Weiterleitungen auch Personen ohne Erlaubnis diese Kontoauszüge sehen könnte. Also werden die einem einem Ordner abgelegt. Die Frage ist jetzt, wo sollte diese Ordner liegen. Bei der Buchhaltung, bei der Technik oder in einem separaten Ordner.
Aus dem Bauch raus würde ich das im Ordner der Technik speichern, da Technik weniger geschäftsrelevante Daten hat. Vom Arbeitsaufwand für die Mitarbeiter wäre der Ordner besser bei der Buchhaltung, da diese den Inhalt verwalten muss.
Da solche Konstellationen in der Vergangenheit öfter auftraten und auch noch komplexer waren, tue ich mich da ziemlich schwer eine brauchbare Lösung zu finden.
Komplexer wird es z.B., wenn auf einzelne Dateien zugegriffen werden muss. Gerade bei Office ist das dann oft ein Problem, wegen den temporären Dateien. Hier habe ich in der Vergangenheit diese Dateien per Skript in einen neuen Ordner kopiert, auf dem dann entsprechende Rechte waren. Das wird dann aber zum Jahreswechsel immer recht aufwendig mit dem anpassen der Dateinamen. Einfach war in diesem Fall, dass die Nutzer nur Leserechte brauchten.
Ich hoffe, ich konnte mein Problem etwas veranschaulichen.
Gruß
Centauri
Ich kann nicht mehr dazu sagen, als im Groben unseren Ansatz zu nennen:
Nutzer haben Transferverzeichnisse, wo andere Ihnen Dateien ablegen dürfen. Dritte können diese Dateien/Ordner nicht lesen (mit ABE auch nicht sehen), da nur der Ersteller und der Transfereigner Leserechte haben. Fü Transfer zwischen Abteilungen ist fast nichts nötig, was nicht über ein gemeinsames Projektverzeichnis zu lösen ist. Und Mail wird auch benutzt, da man in keinem Fall vermeiden kann, dass Anhänge an den verkehrten Empfänger gehen, wenn der Nutzer es verdaddelt (es sei denn, man macht content inspection).
Nutzer haben Transferverzeichnisse, wo andere Ihnen Dateien ablegen dürfen. Dritte können diese Dateien/Ordner nicht lesen (mit ABE auch nicht sehen), da nur der Ersteller und der Transfereigner Leserechte haben. Fü Transfer zwischen Abteilungen ist fast nichts nötig, was nicht über ein gemeinsames Projektverzeichnis zu lösen ist. Und Mail wird auch benutzt, da man in keinem Fall vermeiden kann, dass Anhänge an den verkehrten Empfänger gehen, wenn der Nutzer es verdaddelt (es sei denn, man macht content inspection).
Hallo DerWoWusste,
um die Zeit war ich dann doch schon eingenickt.
zum Thema:
Legt Ihr für die Transferverzeichnisse Rechtegruppen oder auch Benutzergruppen? Normalerweise macht man ja beides.
Habt ihr für die Transferordner und Projektordner einen übergeordneten Ordner oder ist der jeweils in einem Abteilungsordner.
Ich vermute mal, mein Problem liegt in der Struktur der Firma. Im Grunde gibt es eine strenge Abteilungsstruktur. Parallel gibt es aber einzelne Verbindungen, die kreuz und quer durch die Abteilungen gehen.
Da darf mal ein Benutzer eine kleine Auswahl vorlagen bearbeiten, die eigentlich im QM-Ordner liegen. Der QM-Ordner ist aber nur lesend für die ganze Firma außer der QM-Abteilung und den Spezis.
Die Lageristen dürfen lesen auf eine Auswahl von Produktionsstatistiken zugreifen, die quer über den Server verteilt sind.
Gerade aktuell, eine Mitarbeiterin bekommt Bewerbungsunterlagen, ist aber nicht in der Personalabteilung. Und so gibt es dutzende Beispiele.
Projekte in dem Sinne haben wir nur sehr vereinzelt, da wir ein reiner Produktionsbetrieb sind. Wenn es gemeinsame Projekte gibt, dann gleich über alle Abteilungen, aber nicht alle Benutzer.
Um deinen Vorschlag mal aufzugreifen wäre folgende Struktur denkbar:
Auf die Projektordner könnte dann in den beteiligten Abteilungen Verknüpfungen angelegt werden.
Gibt es hier Verbesserungsverschläge?
um die Zeit war ich dann doch schon eingenickt.
zum Thema:
Legt Ihr für die Transferverzeichnisse Rechtegruppen oder auch Benutzergruppen? Normalerweise macht man ja beides.
Habt ihr für die Transferordner und Projektordner einen übergeordneten Ordner oder ist der jeweils in einem Abteilungsordner.
Ich vermute mal, mein Problem liegt in der Struktur der Firma. Im Grunde gibt es eine strenge Abteilungsstruktur. Parallel gibt es aber einzelne Verbindungen, die kreuz und quer durch die Abteilungen gehen.
Da darf mal ein Benutzer eine kleine Auswahl vorlagen bearbeiten, die eigentlich im QM-Ordner liegen. Der QM-Ordner ist aber nur lesend für die ganze Firma außer der QM-Abteilung und den Spezis.
Die Lageristen dürfen lesen auf eine Auswahl von Produktionsstatistiken zugreifen, die quer über den Server verteilt sind.
Gerade aktuell, eine Mitarbeiterin bekommt Bewerbungsunterlagen, ist aber nicht in der Personalabteilung. Und so gibt es dutzende Beispiele.
Projekte in dem Sinne haben wir nur sehr vereinzelt, da wir ein reiner Produktionsbetrieb sind. Wenn es gemeinsame Projekte gibt, dann gleich über alle Abteilungen, aber nicht alle Benutzer.
Um deinen Vorschlag mal aufzugreifen wäre folgende Struktur denkbar:
- Allgemeines
- Abt 1
- Abt 2
- Abt 3
- Abt 4
- Transfer
- User 1 + User 2
- User 1 + User 4
- User 2 + User 3
- Projekte
- Projekt 1
- Projekt 2Auf die Projektordner könnte dann in den beteiligten Abteilungen Verknüpfungen angelegt werden.
Gibt es hier Verbesserungsverschläge?
Klar ist die angegebene Struktur denkbar.
Jeder darf dort schreiben, aber nur der jeweilige Eigner des Transfers und die Gruppe Ersteller/Besitzer und Administratoren darf dort lesen. Das ist schonmal nachahmenswert.
\\server
\Mitarbeiterdaten [jedem ein eigenes Verzeichnis]
\Projekte
\Transfer
\Allgemein
\Fachgruppen [=Abteilungen]
\FG1
\FG2...
Eine allgemeingültige beste Lösung gibt's eh nicht.
Legt Ihr für die Transferverzeichnisse Rechtegruppen oder auch Benutzergruppen?
Struktur: \\server\transfer\amann...\\server\transfer\befrau...Jeder darf dort schreiben, aber nur der jeweilige Eigner des Transfers und die Gruppe Ersteller/Besitzer und Administratoren darf dort lesen. Das ist schonmal nachahmenswert.
Habt ihr für die Transferordner und Projektordner einen übergeordneten Ordner oder ist der jeweils in einem Abteilungsordner
Es sieht so aus:\\server
\Mitarbeiterdaten [jedem ein eigenes Verzeichnis]
\Projekte
\Transfer
\Allgemein
\Fachgruppen [=Abteilungen]
\FG1
\FG2...
Eine allgemeingültige beste Lösung gibt's eh nicht.
Struktur: \\server\transfer\amann...\\server\transfer\befrau...
Jeder darf dort schreiben, aber nur der jeweilige Eigner des Transfers und die Gruppe Ersteller/Besitzer und Administratoren darf
dort lesen. Das ist schonmal nachamenswert.
Jeder darf dort schreiben, aber nur der jeweilige Eigner des Transfers und die Gruppe Ersteller/Besitzer und Administratoren darf
dort lesen. Das ist schonmal nachamenswert.
Ah jetzt hab ich das mit den Transferordnern erstmal gerafft. Das ist wirklich nicht schlecht. Werde ich mit Sicherheit übernehmen.
Eine allgemeingültige beste Lösung gibt's eh nicht.
Da hast du voll und ganz recht. Aber es sind schon mal ein paar gute Ansätze. Noch ein paar Nächte drüber schlafen und vor allem mal wieder den Kopp frei bekommen und dann wird das.Ich danke dir.
Ich setze das Thema mal auf gelöst. Wenn jemand noch andere Vorschläge hat, bin ich dafür natürlich offen.
Gruß
Centauri
