Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Best Practice Berechtigungskonzept Fileserver

Frage Microsoft Windows Server

Mitglied: elchi81

elchi81 (Level 1) - Jetzt verbinden

05.12.2007, aktualisiert 06.12.2007, 11880 Aufrufe, 4 Kommentare

Hi,

wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.

Kleiner Auszugaus der bestehenden Dokumentenstruktur:

d:\dokument
  • |-> Abteilung1
    • |-> User1
    • |-> User2
    • |-> User3
    • |-> public für User2 und User3
    • |-> public für User1,User2 und User4
    • |-> public für Abteilung1
  • |-> Abteilung2
    • |-> User4
    • |-> User5
    • |-> public für Abteilung2
    • |-> Gruppe Nord
      • |-> User6
      • |-> User7
      • |-> public für Gruppe Nord
    • |-> Gruppe Süd
      • |-> User8
      • |-> User9
      • |-> public für Gruppe Süd
  • |-> public für alle


Laufwerk X ist mit \\server\d$ verbunden.

User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.

Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.

Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.

Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?

Vielen Dank im Voraus für Eure Hilfe.

Gruß

Olli
Mitglied: TuXHunt3R
05.12.2007 um 20:00 Uhr
Ich schlage dir folgendes vor:

Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:

Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".


Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente


Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Bitte warten ..
Mitglied: elchi81
05.12.2007 um 21:15 Uhr
Hi,
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?


Gruß

Olli
Bitte warten ..
Mitglied: TuXHunt3R
05.12.2007 um 22:51 Uhr
Tja, man lernt nie aus. Wusste gar nicht, dass es so was wie ABE gibt, musste es zuerst googeln. Ich persönlich sehe den Sinn von ABE im Moment nicht, aber wenn du ABE wirklich verwenden willst, kann ich dir leider nicht helfen. Ich habe noch nie damit gearbeitet und wir verwenden es auch im Betrieb nicht.

Edit:

Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Bitte warten ..
Mitglied: elchi81
06.12.2007 um 08:54 Uhr
Hi,

das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.

Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.

Gruß

Olli
Bitte warten ..
Ähnliche Inhalte
Outlook & Mail
Best practice: Speicherort Outlookdateien
gelöst Frage von AndroxinOutlook & Mail15 Kommentare

Moin, moin. Wir nutzen hier serverseitig gespeicherte Profile und Exchange 2010 + Outlook 2010/2007. Aufgrund der relativ großen Postfächer ...

Debian
Best Practice CheckMK Hosting
Frage von ThePcSwagTogetherDebian8 Kommentare

Schönen guten Tag allesamt, ich habe in der Vergangenheit einen Thread eröffnet, der auch schon dem jetzigen Projekt zugeordnet ...

Windows Server
Netzlaufwerkstruktur Best Practice
Frage von geocastWindows Server7 Kommentare

Einen Guten Zusammen Ich bin gerade dabei ein neues Netzwerk aufzubauen mit AD etc. Gerade versuche ich eine Struktur ...

Windows Update
WSUS best practice?
Frage von leon123Windows Update9 Kommentare

Hallo zusammen, wir haben einen WSUS um ca. 150 Rechner auf dem neusten Stand zu halten. Ich komm aber ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell18 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...