Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2012 R2: Recht auf Ordner nur, wenn User in Gruppe A und Gruppe B ist

Frage Microsoft Windows Server

Mitglied: BugHunter78

BugHunter78 (Level 1) - Jetzt verbinden

17.06.2014 um 12:01 Uhr, 1464 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich komme mit der Planung einer AD nicht weiter und brauche einen Denkanstoß.

Gegeben seien eine Struktur mit 20 Gruppen und 600 Usern, die alle Mitglieder der entsprechenden Gruppen sind. Nun sollen aber einige Mitglieder
(weil Sie zum Beispiel bestimmte Aufgaben als Gruppenmanager übernehmen) nur Zugriffsrechte auf Teile der Dokumentenstruktur erhalten, wenn sie Mitglieder
von Gruppe A UND Gruppe B sind.

Beispiel:
Gruppe A = Buchhaltung
Gruppe B = Revision

Ordnerstruktur
Buchhaltung
- Abgabe
- Rechnungen
- ...
- ...
- Prüfungsverfahren

Gruppe A darf Recht auf Ordner Buchhaltung inkl. Unterordner, bis auf Prüfungsverfahren. Diesen darf man nur benutzen, wenn man in Gruppe Buchhaltung UND Gruppe Revision ist.

Soweit ich mich recht erinnere konnte man in 2003 Abfragegruppen erstellen, dies finde ich jedoch in 2012 nicht wieder. Kann jemand einen Tipp geben? Und nein, wir möchten nicht noch weitere
Untergruppen pro Gruppe erstellen, dass würde nämlich die AD komplett zerwürfeln. Das Organigramm und die Rechte innerhalb der Firma sind leider sehr kompliziert und dürfen nicht verändert werden.

Besten Dank wünsch Stephan!
Mitglied: Forseti2003
17.06.2014 um 12:06 Uhr
Kann Gruppe Revision auch außerhalb Gruppe Buchhaltung auftreten? Ansonsten würde ich sagen, das man das Recht auf Ordner Prüfungsverfahren nur der Gruppe Revision erteilt, der Ordner wird dadurch sichtbar für diese Gruppe, aber durch die Gruppe Buchhaltung erhalte ich erst den Zugriff auf die Struktur wo der Ordner liegt.
Bitte warten ..
Mitglied: BugHunter78
17.06.2014 um 12:19 Uhr
Hallo Forseti,
ne, das geht leider nicht, weil Revision auch für Controlling, Vorstand, Personal, etc. zuständig ist. Aber auch nur die Benutzer die dann in Revision und der weiteren Gruppe Mitglied sind.
Bitte warten ..
Mitglied: Forseti2003
17.06.2014, aktualisiert um 12:28 Uhr
Sofern aber controlling, Vorstand, Personal nicht Mitglied bei Gruppe Buchhaltung sind, würde man die Ordnerstruktur "Buchhaltung" ja gar nicht sehen, somit auch nicht den Unterordner Prüfverfahren - oder mach ich da jetzt gerade einen Denkfehler?

Vielleicht hilft dir aber dieses Thema weiter: http://www.active-directory-faq.de/2011/09/active-directory-dynamische- ...
Bitte warten ..
Mitglied: jsysde
17.06.2014, aktualisiert um 13:05 Uhr
Mahlzeit.

Kann mich nicht erinnern, dass die Kombination von Gruppen für NTFS-Rechte jemals möglich gewesen wäre - auch "Query Groups" ändern daran ja nix, die fragen nur ab, ob ein User-Objekt ein bestimmtes Attribut aufweist und stopfen den User in eine entsprechende Gruppe.

Die logische Aufschlüsselung nimmt man eigentlich durch die Verschachtelung von Gruppen (lt. Lehrbuch: A=>G=>U=>DL<=NTFS) und den Einsatz von ABE vor (bei 2012 ja bereits dabei; muss nur aktiviert werden je Freigabe).

Cheers,
jsysde
Bitte warten ..
Mitglied: BugHunter78
17.06.2014 um 12:54 Uhr
Tja, nein, vielleicht :D

Der Revisor der Buchhalter darf nur in den Ordner Buchhaltung - Revision, denn er ist Mitglied von Revision und Buchhaltung.
Der Revisor der Personalabteilung darf nur in den Ordner Personal - Revision, denn der ist Mitglied von Revision und Personal.
Wenn aber der Revisor zu den Buchhaltern und zur Personalabteilung gehört muss er beide Unterordner sehen können. Wenn er nur Revisor ist und zu keiner anderen Gruppe gehört, darf er (so die Vorstellung der Firma) nur in einen allgmeinen Ordner Revision (nicht Unterordner einer anderen Abteilung) schauen.

Das ist das Schwierige daran. Wir müssen vermeiden noch zusätzlich Gruppen wie RevisionBuchhaltung, RevisionPersonal, etc. anzulegen. Diese Struktur setzt sich auch in anderen Bereichen fort und ist enorm groß.

Gibt es diese Abfragegruppen denn gar nicht mehr? Damit hätte man das ja abbilden können, oder? So nach dem Motto "Ist Mitglied, wenn Mitglied von Revision und Buchhaltung).
Bitte warten ..
Mitglied: jsysde
17.06.2014 um 13:06 Uhr
Mahlzeit.

Du wirst um weitere Gruppen nicht herumkommen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/19dcc18b ...

Cheers,
jsysde
Bitte warten ..
Mitglied: Forseti2003
17.06.2014 um 13:07 Uhr
Also das einzige, was mir bei so einer komplexen Umgebung einfällt, wäre dann der Beitrag hierzu:

http://www.windowspro.de/wolfgang-sommergut/dynamic-access-control-schr ...

Hab mich aber aktuell noch nicht damit näher beschäftigt, vielleicht hilft Dir das weiter.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows 2012 R2 Veränderung bei Rechten?
gelöst Frage von it-froschWindows Server4 Kommentare

Guten Abend Kollegen, wir haben nun endlich unseren W2k3 Fileserver gegen W2k12 R2 getauscht. Da es beides VMs sind, ...

Windows Server
Windows 2012 R2 effektive Rechte Anzeigen
Frage von ingi70Windows Server5 Kommentare

Hallo, nun steht die Migration des Filesservers auf Windows 2012 R2 an und beim überprüfen kommt folgende Berechtigung. : ...

Windows Server
Windows 2008 r2, Gruppen Berechtigungen für Ordner auf einmal vergeben
Frage von TuricanWindows Server3 Kommentare

Hallo, ich soll auf unserem Server für mehrere Ordner Gruppen Berechtigungen vergeben. Wir haben normalerweise Novel als Hauptserver, da ...

Windows Server
"Windows Sicherheit" Server 2012 R2
gelöst Frage von EmptymanWindows Server2 Kommentare

Hallo zusammen, vielleicht ist es eine dumme Frage, aber ich finde absolut keine Lösung. :-) Bis Server 2008 R2 ...

Neue Wissensbeiträge
Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 12 StundenInternet2 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 16 StundenDSL, VDSL1 Kommentar

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Windows 10

Microsoft bestätigt DMA-Policy-Problem in Win10 v1709

Information von DerWoWusste vor 16 StundenWindows 10

Wer sein Gerät mit der DMA-Policy absichert, bekommt evtl. Hardwareprobleme in v1709 von Win10. Warum? Weil v1709 endlich "richtig" ...

Verschlüsselung & Zertifikate

Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows

Information von ticuta1 vor 19 StundenVerschlüsselung & Zertifikate

Interessant Die Hölle friert ein weiteres Stück zu: Microsoft integriert OpenSSH in Windows SSH-Kommando in CMD.exe und PowerShell

Heiß diskutierte Inhalte
Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement21 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...

Windows Server
Anmeldung direkt am DC nicht möglich
Frage von ThomasGrWindows Server16 Kommentare

Hallo, ich habe bei unserem Server 2016 Standard ein Problem. Keine Ahnung wie das auf einmal passiert ist. Ich ...

TK-Netze & Geräte
VPN-fähige IP-Telefone
Frage von the-buccaneerTK-Netze & Geräte14 Kommentare

Hi! Weiss noch jemand ein VPN-fähiges IP-Telefon mit dem man z.B. einen Heimarbeitsplatz gesichert anbinden könnte? Habe nur einen ...