Berechtigungen für Ordner in Ordnerstruktur vergeben

[c-mate]

Hallo,

auf einem Fileserver liegen unter Umständen zigtausend Ordner in einer verzweigten Ordner- und Unterordnerstruktur. Die Zugriffsberechtigungen werden entsprechend über deren Sicherheitseinstellungen geregelt oder über Gruppenzugehörigkeit im AD.

Ist es möglich, einem Benutzer Zugriff zu gewähren auf einen einzigen Ordner, der irgendwo als Unterordner liegt, auf alle anderen Ordner darf er aber nicht zugriffsberechtigt sein.
Bzw klar ist das möglich, die Frage ist nur wie macht man das richtig, Problem dabei ist ja die Vererbung von oben und nach unten.

Im Moment wird das irgendwie hingewurschtelt, indem die Vererbung unterbrochen wird und dann der Benutzer mit den Rechten hinzugefügt wird, aber das kann es ja nicht sein bzw der Aufwand ist viel zu groß und sehr fehleranfällig.

Wie macht man das richtig?
Ich habe natürlich versucht zu recherchieren und nachzulesen, aber zunächst brauche ich eine Gedankenstütze, Anhaltspunkt bzw Stichworte, zu denen ich dann gezielter nachlesen kann bzw im groben eine kurze Aussage wie es geht, damit ich zumindest das grundsätzliche Vorgehen verstehe um dann das zu verstehen, das man dazu im netz findet...

THX

 

[worldoak]

Mit Windows war das schon immer etwas schwierig. Am besten händelt man das über Novell

 

[c-mate]

Dh du meinst Zugriffsberechtigungen über ein fremdes Zusatz oder Verwaltungstool verwalten?

 

[worldoak]

Ja, ich gehe davon aus, dass sehr viele Mitarbeiter auf diverse Ordner/Laufwerke zugreifen.

Sind die Struckturen noch einfach und nicht verschachtelt kann man das noch halbwegs gut mit Windows machen. Alles andere wird dann nur noch ein Wirwar für den Admin und sieht auch nicht schön aus.

Die Alternative wäre auch noch FTP Zugang da kann man auch gezielt Order freigeben.

 

[ms007]

Der Benutzer bekommt ausschließlich auf dem gewünschten Verzeichnis die Rechte, die er bekommen soll. Er ist auch in keiner der Gruppen, anhand derer Zugriffsberechtigungen vergeben werden, als Mitglied drin.
Dann kann er auf genau dieses Verzeichnis im eingetragenen Umfang zugreifen. Er kann nur nicht entlang des Verzeichnisbaumes hinnavigieren. Er muss also die genaue Pfadbezeichnung kennen. Oder der Pfad wird ihm via Loginskript oder cmd-file als Laufwerk rein gemappt.

 

[Frightener]

Der User braucht das Leserechte in den übergeordneten Verzeichnissen. Durch ABE warden Ordner und Dateien automatisch ausgeblendet, auf die er keine Zugriffsberechtigungen hat. Dann kann er sich auch von oben nach unten durchklicken.

 

[ms007]

@FBrenner

Der User braucht das Leserechte in den übergeordneten Verzeichnissen.

Keineswegs. Es ist nicht gefordert, dass er sich entlang des Verzeichnisbaumes durchhangeln kann.

Im übrigen ist das die Anforderung:

auf alle anderen Ordner darf er aber nicht zugriffsberechtigt sein

Damit darf er in den übergeordneten Verzeichnissen gerade kein Zugriffsrecht haben. Das ist mit meinem Vorschlag komplett abgedeckt.

 

[Frightener]

Das ist die Frage, wie es gemeint ist. Beides funktioniert, mein Vorschlag wird normalerweise eingesetzt.Dafür gibt es ABE.

 

[Wizzx]

Hi

Du könntest aus diesem Ordner ein Netzlaufwerk machen, dann kann der User nur auf den Pfad zugreifen und muss sich nirgendwo durchwurschteln.

Alternative ist natürlich FTP.

 

[Frightener]

FTP würde ich in einem Unternehmensnetzwek keinesfalls in Betracht ziehen.

 

[c-mate]

FTP ist keine Alternative, wir reden von einem Fileserver mit 300Gb Daten, tausenden von Ordnern und ca. 600.000 Dateien.