Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Best Practice Berechtigungskonzept Fileserver

Frage Microsoft Windows Server

Mitglied: elchi81

elchi81 (Level 1) - Jetzt verbinden

05.12.2007, aktualisiert 06.12.2007, 10975 Aufrufe, 4 Kommentare

Hi,

wir sind bei den Vorbereitungen für eine Migration der Daten von einem Novell-Fileserver auf einen Windows Server 2003 R2 SP2 ENG MUI mit ABE und DFS. Nun stellt sich uns die Frage wie man an die Berechtigungsstruktur rangehen sollte.

Kleiner Auszugaus der bestehenden Dokumentenstruktur:

d:\dokument
  • |-> Abteilung1
    • |-> User1
    • |-> User2
    • |-> User3
    • |-> public für User2 und User3
    • |-> public für User1,User2 und User4
    • |-> public für Abteilung1
  • |-> Abteilung2
    • |-> User4
    • |-> User5
    • |-> public für Abteilung2
    • |-> Gruppe Nord
      • |-> User6
      • |-> User7
      • |-> public für Gruppe Nord
    • |-> Gruppe Süd
      • |-> User8
      • |-> User9
      • |-> public für Gruppe Süd
  • |-> public für alle


Laufwerk X ist mit \\server\d$ verbunden.

User4 soll nun auf sein Verzeichniss,"public in Abteilung2" und "public für User1,User2 und User4" Berechtigung bekommen, aber nicht auf die anderen User-Verzeichnisse, oder Abteilungen.

Das Problem ist ja wenn ich nur auf diese Ordner die Berechtigung vergebe, kommt der User nicht dran, da er auf die Ordner davor keine Berechtigung hat. Setze ich das Recht "Ordner durchsuchen" auf alle Ordner bringt mit das ABE nichts und das wollen wir auf jedenfall einsetzen damit die User das gleiche sehen wie vorher auf dem Novell-Server.

Wie gehe ich am besten vor? Stoppe ich an den entsprechenden Stellen die Vererbung?
Hatte von einem Bekannten den "Tipp" bekommen überall Freigaben zu erstellen und diese zu mappen, allerdings habe ich dann jede Menge Mappings und keiner findet sich mehr zurecht. Finde die Lösung mit den hunderten von Freigaben auch nicht so dolle, da die User ihr Verknüpfungen in den Dokumenten ändern müssten.

Habt ihr Tipps, Lösungen, oder wie macht ihr es mit eurem Fileserver?

Vielen Dank im Voraus für Eure Hilfe.

Gruß

Olli
Mitglied: TuXHunt3R
05.12.2007 um 20:00 Uhr
Ich schlage dir folgendes vor:

Erstelle für jeden Ordner auf jeder Hirarchiestufe eine Lesegruppe (d.h. einfach Leserechte). Hier am Beispiel des Users6, der auf seinen Ordner in Abteilung2\Gruppe Nord zugreifen muss:

Du erstellst eine Gruppe, die auf dem Ordner "Abteilung2" Leseberechtigungen hat, dort packst du die User 4-7 rein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Abteilung2"
Dann erstellst du eine Gruppe, die auf dem Ordner "Gruppe Nord" Leseberechtigungen hat, dort packst du die User 6+7 hinein und vererbst die Berechtigungen auf alle Unterordner des Ordners "Gruppe Nord".
Danach setzt du dem User6 auf dem Ordner "User6" Schreibberechtigungen (d.h. "Ändern") und vererbst die Berechtigungen auf alle Unterordner und Dateien des Ordners "User6".


Für die Public-Ordner empfehle ich dir folgendes (hier am Beispiel des public-Ordners für die Gruppe Nord):
Du erstellst eine Gruppe, die auf dem Ordner "public für Gruppe Nord" Schreibberechtigungen (d.h. "Ändern") hat und packst dort die User 6+7 hinein. Dann vererbst du diese Berechtigungen auf alle unterhalb des Ordner "public für Gruppe Nord" liegenden Elemente


Somit können die User sauber durch die Ordner browsen und können nichts an der Haupt-Ordnerstruktur nichts kaputt machen, da sie auf den "Hauptordnern" nur Leseberechtigungen haben. So würde ich es hier in deinem Fall realisieren.
Bitte warten ..
Mitglied: elchi81
05.12.2007 um 21:15 Uhr
Hi,
vielen Dank für deine Antwort!
Das klingt schonmal nach einer guten Lösung, das einzige Problem ist das, dadurch das man auf jeden Ordner mind. Leserechte hat, das ABE (Access Based Enumeration) nichts bringt
Gibts dazu vielleicht noch eine Lösung?


Gruß

Olli
Bitte warten ..
Mitglied: TuXHunt3R
05.12.2007 um 22:51 Uhr
Tja, man lernt nie aus. Wusste gar nicht, dass es so was wie ABE gibt, musste es zuerst googeln. Ich persönlich sehe den Sinn von ABE im Moment nicht, aber wenn du ABE wirklich verwenden willst, kann ich dir leider nicht helfen. Ich habe noch nie damit gearbeitet und wir verwenden es auch im Betrieb nicht.

Edit:

Ich kann nur sagen, dass dieses Lösung, die ich dir vorgeschlagen habe, sehr gut funktioniert. Wenn man die Erstellung von Shares mit entsprechenden Scripts automatisiert, ist auch der Administrationsaufwand gering und du hast eine saubere Lösung.
Bitte warten ..
Mitglied: elchi81
06.12.2007 um 08:54 Uhr
Hi,

das ABE macht meiner Meinung nach schon sinn.
Wir machen ja eine migration von Novell zu Windows. Bei Novell ist es so, das der User die Ordner und Dateien nicht sieht, worauf er keine Berechtigung hat. Somit kommt auch kein "Zugriff verweigert" wenn man auf einen Ordner klickt wo man keine Rechte drauf hat.

Bei Windows ist dies standardmäßig nicht so und man kann dieses "feature" was Novell schon Jahrelang einsetzt mit ABE nachinstallieren.
Somit müssen die User sich nach der Migration nicht umstellen.

Gruß

Olli
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Debian
Best Practice CheckMK Hosting (8)

Frage von ThePcSwagTogether zum Thema Debian ...

Windows Server
gelöst SQL Server Best Practice (13)

Frage von Cloudy zum Thema Windows Server ...

Monitoring
gelöst SNMP Monitoring eines LAN aus dem WAN - Best practice? (6)

Frage von chfran zum Thema Monitoring ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...