Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Best Practice Berechtigungskonzept Fileserver

Mitglied: elchi81

elchi81 (Level 1) - Jetzt verbinden

05.12.2007, aktualisiert 06.12.2007, 12403 Aufrufe, 4 Kommentare

Hi,

wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.

Kleiner Auszugaus der bestehenden Dokumentenstruktur:

d:\dokument
  • |-> Abteilung1
    • |-> User1
    • |-> User2
    • |-> User3
    • |-> public für User2 und User3
    • |-> public für User1,User2 und User4
    • |-> public für Abteilung1
  • |-> Abteilung2
    • |-> User4
    • |-> User5
    • |-> public für Abteilung2
    • |-> Gruppe Nord
      • |-> User6
      • |-> User7
      • |-> public für Gruppe Nord
    • |-> Gruppe Süd
      • |-> User8
      • |-> User9
      • |-> public für Gruppe Süd
  • |-> public für alle


Laufwerk X ist mit \\server\d$ verbunden.

User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.

Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.

Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.

Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?

Vielen Dank im Voraus für Eure Hilfe.

Gruß

Olli
Mitglied: TuXHunt3R
05.12.2007 um 20:00 Uhr
Ich schlage dir folgendes vor:

Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:

Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".


Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente


Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Bitte warten ..
Mitglied: elchi81
05.12.2007 um 21:15 Uhr
Hi,
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?


Gruß

Olli
Bitte warten ..
Mitglied: TuXHunt3R
05.12.2007 um 22:51 Uhr
Tja, man lernt nie aus. Wusste gar nicht, dass es so was wie ABE gibt, musste es zuerst googeln. Ich persönlich sehe den Sinn von ABE im Moment nicht, aber wenn du ABE wirklich verwenden willst, kann ich dir leider nicht helfen. Ich habe noch nie damit gearbeitet und wir verwenden es auch im Betrieb nicht.

Edit:

Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Bitte warten ..
Mitglied: elchi81
06.12.2007 um 08:54 Uhr
Hi,

das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.

Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.

Gruß

Olli
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail

Best practice: Speicherort Outlookdateien

gelöst Frage von AndroxinOutlook & Mail15 Kommentare

Moin, moin. Wir nutzen hier serverseitig gespeicherte Profile und Exchange 2010 + Outlook 2010/2007. Aufgrund der relativ großen Postfächer ...

Debian

Best Practice CheckMK Hosting

Frage von ThePcSwagTogetherDebian8 Kommentare

Schönen guten Tag allesamt, ich habe in der Vergangenheit einen Thread eröffnet, der auch schon dem jetzigen Projekt zugeordnet ...

Windows Server

Netzlaufwerkstruktur Best Practice

Frage von geocastWindows Server7 Kommentare

Einen Guten Zusammen Ich bin gerade dabei ein neues Netzwerk aufzubauen mit AD etc. Gerade versuche ich eine Struktur ...

Windows Update

WSUS best practice?

Frage von leon123Windows Update9 Kommentare

Hallo zusammen, wir haben einen WSUS um ca. 150 Rechner auf dem neusten Stand zu halten. Ich komm aber ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 1 StundeErkennung und -Abwehr1 Kommentar

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 9 StundenVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Drucker und Scanner
HP-MF-Drucker per Fax angreifbsr
Information von Lochkartenstanzer vor 2 TagenDrucker und Scanner3 Kommentare

Endlich eine sinnvolle Verwendung für Faxe: Damit kann man offensichtlich den Drucker übernehmen. lks

Router & Routing

Das pfSense Buch ist jetzt für jeden kostenlos zu beziehen

Tipp von magicteddy vor 2 TagenRouter & Routing2 Kommentare

Bisher war das Buch nur für zahlende Unterstützer verfügbar, jetzt steht für Jedermann kostenlos zur Verfügung. Siehe auch The ...

Heiß diskutierte Inhalte
Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Datenbanken
MySQL Datenbank Import Aufgabe für mehrere .csv dateien
gelöst Frage von Marcel1989Datenbanken19 Kommentare

Hi, ich komm nicht weiter. Ich hab auf einem Windows Server 2012 r2 eine MariaDB/MySQL laufen. Nun soll diese ...

Windows Server
Programme auf DC ausführen
gelöst Frage von chris123Windows Server14 Kommentare

Hallo, ich bin gerade dabei einen weiteren Admin für unser Domäne zu konfigurieren. Er soll auch auf dem DC-Server ...

Firewall
PfSense Werbung blocken
Frage von matze2090Firewall13 Kommentare

Hallo, habt ihr eine Lösung wie man mit pfSense am besten im Netzwerk Werbung blockieren kann? Danke :)