7
Windows Server 2012 R2: Recht auf Ordner nur, wenn User in Gruppe A und Gruppe B ist
Hallo Zusammen,
ich komme mit der Planung einer AD nicht weiter und brauche einen Denkanstoß.
Gegeben seien eine Struktur mit 20 Gruppen und 600 Usern, die alle Mitglieder der entsprechenden Gruppen sind. Nun sollen aber einige Mitglieder
(weil Sie zum Beispiel bestimmte Aufgaben als Gruppenmanager übernehmen) nur Zugriffsrechte auf Teile der Dokumentenstruktur erhalten, wenn sie Mitglieder
von Gruppe A UND Gruppe B sind.
Beispiel:
Gruppe A = Buchhaltung
Gruppe B = Revision
Ordnerstruktur
Buchhaltung
- Abgabe
- Rechnungen
- ...
- ...
- Prüfungsverfahren
Gruppe A darf Recht auf Ordner Buchhaltung inkl. Unterordner, bis auf Prüfungsverfahren. Diesen darf man nur benutzen, wenn man in Gruppe Buchhaltung UND Gruppe Revision ist.
Soweit ich mich recht erinnere konnte man in 2003 Abfragegruppen erstellen, dies finde ich jedoch in 2012 nicht wieder. Kann jemand einen Tipp geben? Und nein, wir möchten nicht noch weitere
Untergruppen pro Gruppe erstellen, dass würde nämlich die AD komplett zerwürfeln. Das Organigramm und die Rechte innerhalb der Firma sind leider sehr kompliziert und dürfen nicht verändert werden.
Besten Dank wünsch Stephan!
ich komme mit der Planung einer AD nicht weiter und brauche einen Denkanstoß.
Gegeben seien eine Struktur mit 20 Gruppen und 600 Usern, die alle Mitglieder der entsprechenden Gruppen sind. Nun sollen aber einige Mitglieder
(weil Sie zum Beispiel bestimmte Aufgaben als Gruppenmanager übernehmen) nur Zugriffsrechte auf Teile der Dokumentenstruktur erhalten, wenn sie Mitglieder
von Gruppe A UND Gruppe B sind.
Beispiel:
Gruppe A = Buchhaltung
Gruppe B = Revision
Ordnerstruktur
Buchhaltung
- Abgabe
- Rechnungen
- ...
- ...
- Prüfungsverfahren
Gruppe A darf Recht auf Ordner Buchhaltung inkl. Unterordner, bis auf Prüfungsverfahren. Diesen darf man nur benutzen, wenn man in Gruppe Buchhaltung UND Gruppe Revision ist.
Soweit ich mich recht erinnere konnte man in 2003 Abfragegruppen erstellen, dies finde ich jedoch in 2012 nicht wieder. Kann jemand einen Tipp geben? Und nein, wir möchten nicht noch weitere
Untergruppen pro Gruppe erstellen, dass würde nämlich die AD komplett zerwürfeln. Das Organigramm und die Rechte innerhalb der Firma sind leider sehr kompliziert und dürfen nicht verändert werden.
Besten Dank wünsch Stephan!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 241142
Url: https://administrator.de/contentid/241142
Printed on: April 19, 2024 at 14:04 o'clock
7 Comments
Latest comment
Kann Gruppe Revision auch außerhalb Gruppe Buchhaltung auftreten? Ansonsten würde ich sagen, das man das Recht auf Ordner Prüfungsverfahren nur der Gruppe Revision erteilt, der Ordner wird dadurch sichtbar für diese Gruppe, aber durch die Gruppe Buchhaltung erhalte ich erst den Zugriff auf die Struktur wo der Ordner liegt.
Hallo Forseti,
ne, das geht leider nicht, weil Revision auch für Controlling, Vorstand, Personal, etc. zuständig ist. Aber auch nur die Benutzer die dann in Revision und der weiteren Gruppe Mitglied sind.
ne, das geht leider nicht, weil Revision auch für Controlling, Vorstand, Personal, etc. zuständig ist. Aber auch nur die Benutzer die dann in Revision und der weiteren Gruppe Mitglied sind.
Sofern aber controlling, Vorstand, Personal nicht Mitglied bei Gruppe Buchhaltung sind, würde man die Ordnerstruktur "Buchhaltung" ja gar nicht sehen, somit auch nicht den Unterordner Prüfverfahren - oder mach ich da jetzt gerade einen Denkfehler?
Vielleicht hilft dir aber dieses Thema weiter: http://www.active-directory-faq.de/2011/09/active-directory-dynamische- ...
Vielleicht hilft dir aber dieses Thema weiter: http://www.active-directory-faq.de/2011/09/active-directory-dynamische- ...
Mahlzeit.
Kann mich nicht erinnern, dass die Kombination von Gruppen für NTFS-Rechte jemals möglich gewesen wäre - auch "Query Groups" ändern daran ja nix, die fragen nur ab, ob ein User-Objekt ein bestimmtes Attribut aufweist und stopfen den User in eine entsprechende Gruppe.
Die logische Aufschlüsselung nimmt man eigentlich durch die Verschachtelung von Gruppen (lt. Lehrbuch: A=>G=>U=>DL<=NTFS) und den Einsatz von ABE vor (bei 2012 ja bereits dabei; muss nur aktiviert werden je Freigabe).
Cheers,
jsysde
Kann mich nicht erinnern, dass die Kombination von Gruppen für NTFS-Rechte jemals möglich gewesen wäre - auch "Query Groups" ändern daran ja nix, die fragen nur ab, ob ein User-Objekt ein bestimmtes Attribut aufweist und stopfen den User in eine entsprechende Gruppe.
Die logische Aufschlüsselung nimmt man eigentlich durch die Verschachtelung von Gruppen (lt. Lehrbuch: A=>G=>U=>DL<=NTFS) und den Einsatz von ABE vor (bei 2012 ja bereits dabei; muss nur aktiviert werden je Freigabe).
Cheers,
jsysde
Tja, nein, vielleicht :D
Der Revisor der Buchhalter darf nur in den Ordner Buchhaltung - Revision, denn er ist Mitglied von Revision und Buchhaltung.
Der Revisor der Personalabteilung darf nur in den Ordner Personal - Revision, denn der ist Mitglied von Revision und Personal.
Wenn aber der Revisor zu den Buchhaltern und zur Personalabteilung gehört muss er beide Unterordner sehen können. Wenn er nur Revisor ist und zu keiner anderen Gruppe gehört, darf er (so die Vorstellung der Firma) nur in einen allgmeinen Ordner Revision (nicht Unterordner einer anderen Abteilung) schauen.
Das ist das Schwierige daran. Wir müssen vermeiden noch zusätzlich Gruppen wie RevisionBuchhaltung, RevisionPersonal, etc. anzulegen. Diese Struktur setzt sich auch in anderen Bereichen fort und ist enorm groß.
Gibt es diese Abfragegruppen denn gar nicht mehr? Damit hätte man das ja abbilden können, oder? So nach dem Motto "Ist Mitglied, wenn Mitglied von Revision und Buchhaltung).
Der Revisor der Buchhalter darf nur in den Ordner Buchhaltung - Revision, denn er ist Mitglied von Revision und Buchhaltung.
Der Revisor der Personalabteilung darf nur in den Ordner Personal - Revision, denn der ist Mitglied von Revision und Personal.
Wenn aber der Revisor zu den Buchhaltern und zur Personalabteilung gehört muss er beide Unterordner sehen können. Wenn er nur Revisor ist und zu keiner anderen Gruppe gehört, darf er (so die Vorstellung der Firma) nur in einen allgmeinen Ordner Revision (nicht Unterordner einer anderen Abteilung) schauen.
Das ist das Schwierige daran. Wir müssen vermeiden noch zusätzlich Gruppen wie RevisionBuchhaltung, RevisionPersonal, etc. anzulegen. Diese Struktur setzt sich auch in anderen Bereichen fort und ist enorm groß.
Gibt es diese Abfragegruppen denn gar nicht mehr? Damit hätte man das ja abbilden können, oder? So nach dem Motto "Ist Mitglied, wenn Mitglied von Revision und Buchhaltung).
Mahlzeit.
Du wirst um weitere Gruppen nicht herumkommen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/19dcc18b ...
Cheers,
jsysde
Du wirst um weitere Gruppen nicht herumkommen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/19dcc18b ...
Cheers,
jsysde
Also das einzige, was mir bei so einer komplexen Umgebung einfällt, wäre dann der Beitrag hierzu:
http://www.windowspro.de/wolfgang-sommergut/dynamic-access-control-schr ...
Hab mich aber aktuell noch nicht damit näher beschäftigt, vielleicht hilft Dir das weiter.
http://www.windowspro.de/wolfgang-sommergut/dynamic-access-control-schr ...
Hab mich aber aktuell noch nicht damit näher beschäftigt, vielleicht hilft Dir das weiter.
