Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows Server 2012 R2: Recht auf Ordner nur, wenn User in Gruppe A und Gruppe B ist

Frage Microsoft Windows Server

Mitglied: BugHunter78

BugHunter78 (Level 1) - Jetzt verbinden

17.06.2014 um 12:01 Uhr, 1428 Aufrufe, 7 Kommentare

Hallo Zusammen,

ich komme mit der Planung einer AD nicht weiter und brauche einen Denkanstoß.

Gegeben seien eine Struktur mit 20 Gruppen und 600 Usern, die alle Mitglieder der entsprechenden Gruppen sind. Nun sollen aber einige Mitglieder
(weil Sie zum Beispiel bestimmte Aufgaben als Gruppenmanager übernehmen) nur Zugriffsrechte auf Teile der Dokumentenstruktur erhalten, wenn sie Mitglieder
von Gruppe A UND Gruppe B sind.

Beispiel:
Gruppe A = Buchhaltung
Gruppe B = Revision

Ordnerstruktur
Buchhaltung
- Abgabe
- Rechnungen
- ...
- ...
- Prüfungsverfahren

Gruppe A darf Recht auf Ordner Buchhaltung inkl. Unterordner, bis auf Prüfungsverfahren. Diesen darf man nur benutzen, wenn man in Gruppe Buchhaltung UND Gruppe Revision ist.

Soweit ich mich recht erinnere konnte man in 2003 Abfragegruppen erstellen, dies finde ich jedoch in 2012 nicht wieder. Kann jemand einen Tipp geben? Und nein, wir möchten nicht noch weitere
Untergruppen pro Gruppe erstellen, dass würde nämlich die AD komplett zerwürfeln. Das Organigramm und die Rechte innerhalb der Firma sind leider sehr kompliziert und dürfen nicht verändert werden.

Besten Dank wünsch Stephan!
Mitglied: Forseti2003
17.06.2014 um 12:06 Uhr
Kann Gruppe Revision auch außerhalb Gruppe Buchhaltung auftreten? Ansonsten würde ich sagen, das man das Recht auf Ordner Prüfungsverfahren nur der Gruppe Revision erteilt, der Ordner wird dadurch sichtbar für diese Gruppe, aber durch die Gruppe Buchhaltung erhalte ich erst den Zugriff auf die Struktur wo der Ordner liegt.
Bitte warten ..
Mitglied: BugHunter78
17.06.2014 um 12:19 Uhr
Hallo Forseti,
ne, das geht leider nicht, weil Revision auch für Controlling, Vorstand, Personal, etc. zuständig ist. Aber auch nur die Benutzer die dann in Revision und der weiteren Gruppe Mitglied sind.
Bitte warten ..
Mitglied: Forseti2003
17.06.2014, aktualisiert um 12:28 Uhr
Sofern aber controlling, Vorstand, Personal nicht Mitglied bei Gruppe Buchhaltung sind, würde man die Ordnerstruktur "Buchhaltung" ja gar nicht sehen, somit auch nicht den Unterordner Prüfverfahren - oder mach ich da jetzt gerade einen Denkfehler?

Vielleicht hilft dir aber dieses Thema weiter: http://www.active-directory-faq.de/2011/09/active-directory-dynamische- ...
Bitte warten ..
Mitglied: jsysde
17.06.2014, aktualisiert um 13:05 Uhr
Mahlzeit.

Kann mich nicht erinnern, dass die Kombination von Gruppen für NTFS-Rechte jemals möglich gewesen wäre - auch "Query Groups" ändern daran ja nix, die fragen nur ab, ob ein User-Objekt ein bestimmtes Attribut aufweist und stopfen den User in eine entsprechende Gruppe.

Die logische Aufschlüsselung nimmt man eigentlich durch die Verschachtelung von Gruppen (lt. Lehrbuch: A=>G=>U=>DL<=NTFS) und den Einsatz von ABE vor (bei 2012 ja bereits dabei; muss nur aktiviert werden je Freigabe).

Cheers,
jsysde
Bitte warten ..
Mitglied: BugHunter78
17.06.2014 um 12:54 Uhr
Tja, nein, vielleicht :D

Der Revisor der Buchhalter darf nur in den Ordner Buchhaltung - Revision, denn er ist Mitglied von Revision und Buchhaltung.
Der Revisor der Personalabteilung darf nur in den Ordner Personal - Revision, denn der ist Mitglied von Revision und Personal.
Wenn aber der Revisor zu den Buchhaltern und zur Personalabteilung gehört muss er beide Unterordner sehen können. Wenn er nur Revisor ist und zu keiner anderen Gruppe gehört, darf er (so die Vorstellung der Firma) nur in einen allgmeinen Ordner Revision (nicht Unterordner einer anderen Abteilung) schauen.

Das ist das Schwierige daran. Wir müssen vermeiden noch zusätzlich Gruppen wie RevisionBuchhaltung, RevisionPersonal, etc. anzulegen. Diese Struktur setzt sich auch in anderen Bereichen fort und ist enorm groß.

Gibt es diese Abfragegruppen denn gar nicht mehr? Damit hätte man das ja abbilden können, oder? So nach dem Motto "Ist Mitglied, wenn Mitglied von Revision und Buchhaltung).
Bitte warten ..
Mitglied: jsysde
17.06.2014 um 13:06 Uhr
Mahlzeit.

Du wirst um weitere Gruppen nicht herumkommen:
http://social.technet.microsoft.com/Forums/windowsserver/en-US/19dcc18b ...

Cheers,
jsysde
Bitte warten ..
Mitglied: Forseti2003
17.06.2014 um 13:07 Uhr
Also das einzige, was mir bei so einer komplexen Umgebung einfällt, wäre dann der Beitrag hierzu:

http://www.windowspro.de/wolfgang-sommergut/dynamic-access-control-schr ...

Hab mich aber aktuell noch nicht damit näher beschäftigt, vielleicht hilft Dir das weiter.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Hyper-V
Windows Server 2012 R2 NIC Teaming mit Lancom Switch

Frage von onkel87 zum Thema Hyper-V ...

Windows Server
gelöst RDS 2016 Cals auf Windows Server 2012 R2 RDS-Lizenzserver unterstützt? (1)

Frage von Excaliburx zum Thema Windows Server ...

Windows Server
Problem mit Windows Server 2012 R2 (MSConfig - Systemstart Modus) (3)

Frage von FloFMS zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (22)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (19)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...