Zitat:
Zitat von zigeina
freigabe ---> nur eine
berechtigungen erste ebene nur lesen
2te ebene lesen, schreiben, nicht löschen
...rest wie oben
berechtigungen nur auf dateien und ordner
auf freigaben keine berechtigungen (senkt extrem den administrationsaufwand)
|
hab mich da wohl schlecht ausgedrückt
ich lege gerne einen Einsprungsordner an, zbsp. in dieser Form:
Daten >
Abteilung (Freigabe) >
Personal (ab hier NTFS-Berechtigung mit domänenlokaler Gruppe auf den Ordner)
Jedenfalls lege ich Gruppen nach diesem Schema an:
WIE_ABT_Personal-RO (zbsp. für read only)
WIE_ABT_Personal-C0 (zbsp. für Ordnerverantwortliche)
WIE_ABT_Personal-C1 (zbsp. für User die auch Schreibrechte brauchen)
Diese 3 Gruppen lege ich für jeden zu berechtigenden Ordner an, egal ob ich verschiedene Zugriffs-Optionen benötige.
Gäbe es einen Ordner Leiharbeiter dann so:
WIE_ABT_PERSONAL_Leiharbeiter (die Schreibweise entspricht dem eigentlichen Pfad zum Ordner)
WIE_ABT_PERSONAL_LEIHARBEITER_Frauen_xx (wenn die Berechtigung noch weiter unten erfolgen soll)
Natürlich trachte ich danach, den zu berechtigenden Ordner so flach als möglich zu halten, unter meinen Fittichen maximal in die 3.Ebene. Aus diesem Grund ist es auch wichtig, VORHER mit den Verantwortlichen zu sprechen und gemeinsam eine Richtlinie zu erarbeiten, die diesem Konzept entspricht.
Im letzten Abschnitt, den ich normalerweise klein schreibe, sitzt die Berechtigung. So erkennt man auf einen Blick WO die eigentliche Berechtigung liegt (wenn man mal mehr als 500 Gruppen hat, macht das die Zuordnung um einiges leichter)
Was das Gruppenkonzept angeht, steht auf der einen Seite das berühmte MS-Best Practice Konzept mit globalen Gruppen (hier kommen die User rein), die in die lokalen Gruppen (die auf den zu berechtigten Ordnern sitzt) verschachtelt wird, oder NUR lokale Gruppen zu verwenden und die User dort zu verfrachten.
Hat man nur 1 Domäne ist das MS-Konzept die feinere Klinge weil sich eine etwaige Delegierung auf die globalen Gruppen anwenden lässt. Das Konzept ist spätestens dann unpraktisch, wenn auch User aus anderen Domänen berechtigt werden müssen, den diese können bekannterweise NICHT in globale Gruppen anderer Domänen Mitglied sein.
Man kann zwar in der ersten Variante auch nicht ganz verhindern, dass nicht delegierte Personen Unfug treiben (sobald ein User einen neuen Ordner erstellt, ist er auch der Owner und darf/könnte Berechtigungen direkt auf diesen Ordner setzen......aber das ist leider ein MS/NTFS-"Feature", welches ohne trickserei nicht vermeidbar ist.