Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Best Practice Berechtigungskonzept Fileserver

Mitglied: elchi81

elchi81 (Level 1) - Jetzt verbinden

05.12.2007, aktualisiert 06.12.2007, 12227 Aufrufe, 4 Kommentare

Hi,

wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.

Kleiner Auszugaus der bestehenden Dokumentenstruktur:

d:\dokument
  • |-> Abteilung1
    • |-> User1
    • |-> User2
    • |-> User3
    • |-> public für User2 und User3
    • |-> public für User1,User2 und User4
    • |-> public für Abteilung1
  • |-> Abteilung2
    • |-> User4
    • |-> User5
    • |-> public für Abteilung2
    • |-> Gruppe Nord
      • |-> User6
      • |-> User7
      • |-> public für Gruppe Nord
    • |-> Gruppe Süd
      • |-> User8
      • |-> User9
      • |-> public für Gruppe Süd
  • |-> public für alle


Laufwerk X ist mit \\server\d$ verbunden.

User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.

Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.

Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.

Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?

Vielen Dank im Voraus für Eure Hilfe.

Gruß

Olli
Mitglied: TuXHunt3R
05.12.2007 um 20:00 Uhr
Ich schlage dir folgendes vor:

Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:

Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".


Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente


Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Bitte warten ..
Mitglied: elchi81
05.12.2007 um 21:15 Uhr
Hi,
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?


Gruß

Olli
Bitte warten ..
Mitglied: TuXHunt3R
05.12.2007 um 22:51 Uhr
Tja, man lernt nie aus. Wusste gar nicht, dass es so was wie ABE gibt, musste es zuerst googeln. Ich persönlich sehe den Sinn von ABE im Moment nicht, aber wenn du ABE wirklich verwenden willst, kann ich dir leider nicht helfen. Ich habe noch nie damit gearbeitet und wir verwenden es auch im Betrieb nicht.

Edit:

Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Bitte warten ..
Mitglied: elchi81
06.12.2007 um 08:54 Uhr
Hi,

das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.

Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.

Gruß

Olli
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Best practice: Speicherort Outlookdateien

gelöst Frage von AndroxinOutlook & Mail15 Kommentare

Moin, moin. Wir nutzen hier serverseitig gespeicherte Profile und Exchange 2010 + Outlook 2010/2007. Aufgrund der relativ großen Postfächer ...

Debian

Best Practice CheckMK Hosting

Frage von ThePcSwagTogetherDebian8 Kommentare

Schönen guten Tag allesamt, ich habe in der Vergangenheit einen Thread eröffnet, der auch schon dem jetzigen Projekt zugeordnet ...

Windows Server

Netzlaufwerkstruktur Best Practice

Frage von geocastWindows Server7 Kommentare

Einen Guten Zusammen Ich bin gerade dabei ein neues Netzwerk aufzubauen mit AD etc. Gerade versuche ich eine Struktur ...

Windows Update

WSUS best practice?

Frage von leon123Windows Update9 Kommentare

Hallo zusammen, wir haben einen WSUS um ca. 150 Rechner auf dem neusten Stand zu halten. Ich komm aber ...

Neue Wissensbeiträge
Cloud-Dienste

Neue Exchange Online und Office 365 Limits ab 01.06.2018

Tipp von decathlon vor 2 StundenCloud-Dienste

Achtung für alle Exchange Online Nutzer die es vielleicht übersehen haben. Ab 01. Juni gilt folgendes neues Limit User ...

Humor (lol)
Meine Variante der DSGVO
Tipp von Henere vor 1 TagHumor (lol)4 Kommentare

Datenschutzerklärung Jede gute Website braucht eine Datenschutzerklärung? Ok, dann machen Sie sich auf etwas gefasst. Präambel Artikel 12 der ...

Administrator.de Feedback

Entwicklertagebuch: Datenschutzerklärung nach DS-GVO

Information von admtech vor 2 TagenAdministrator.de Feedback

Hallo Administrator User, Wir respektieren eure Privatsphäre und möchten euch daher auf die Möglichkeiten für den Umgang mit euren ...

Voice over IP

Rufnummernblock aufbrechen nun möglich bei DTAG

Tipp von Datenreise vor 2 TagenVoice over IP

Bei der Telekom ist es seit einigen Tagen laut Aussage der Geschäftskunden-Hotline möglich, eine Rufnummernübernahme auch dann durchzuführen, wenn ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Wieviel Lüfter hat ein HP Elitebook 8730w ?
Frage von -WeBu-CPU, RAM, Mainboards8 Kommentare

Guten Morgen, gestern Abend hat sich bei meinem HP ein/der Lüfter hörbar abgeschaltet oder stark runter geregelt, obwohl das ...

Batch & Shell
Brauche hilf bei einer batch Datei
gelöst Frage von PilllllleBatch & Shell7 Kommentare

hallo, ich versuche mit Hilfe von einer batch- Datei eine bestimmt Zeile aus einer txt- Datei in eine neue ...

Batch & Shell
Brauche Hilfe bei einer batch datai
gelöst Frage von PilllllleBatch & Shell6 Kommentare

hallo ich möchte mithilfe von einer batch datei den aktuell verbundenen Netzwerknamen abfragen lassen für hilfe währe ich sehr ...

Windows Server
Passwort für Terminalserver-Login über IGEL-Client neu vergeben ?
gelöst Frage von WernimanWindows Server6 Kommentare

Hallo, ich bin -verglichen mit euch- ein absoluter Rookie in der Branche, habe aktuell seit meiner Ausbildung gerade den ...