Fileserver / Berechtungen / Best Practices

PEASANT KING

Commander
Registriert
Okt. 2008
Beiträge
2.412
Guten Morgen,

ich habe mal eine Frage, wo ich denke es ist Geschmackssache, aber vielleicht täusche ich mich ja auch.
Nehmen wir an, ich habe eine Freigabe auf einem Fileserver "Daten" darunter befinden sich Verzeichnisse, diese Verzeichnisse haben Berechtigungen für bestimmte Gruppen. Nicht jede Gruppe darf jedes Verzeichnis öffnen etc., das wird über NTFS Berechtigungen die im AD als Lokale Gruppen angelegt sind gesteuert, die wiederum globalen Gruppen (Benutzerrollen) zugeordnet sind.

Wie geht ihr nun vor, wenn sich in einem Unterverzeichnis von "Daten" z.B. "Haupttest" ein weiteres Unterverzeichnis befindet auf den die Rolle keinen Zugriff erhalten soll? Vergebt ihr hier explizit ein Verbot für den Benutzer, oder erstellt ihr eine weitere ACL Gruppe für die der Zugriff dann verboten ist? Was ist hier am praktikabelsten und wartungsfreundlichsten?

Grüße DJ
 
Also früher (TM) hat man einfach den Unterordner entsprechend per separater Gruppe zusätzlich berechtigt und die Zugriffsbasierte Aufzählung gemacht.

Ansonsten wandern heut massenhaft Datenfreigaben zu SharePoint Online und die Freigabe erfolgt sowieso projektbezogen, statt ganze Hauptordner pauschal für alle Gruppen Mitglieder freizugeben.
 
Wir besitzen zwar Sharepoint Online etc. nutzen es aber nur sporadisch, haben noch einen klassischen Fileserver.
 
Access-based enumeration einschalten,

Vererbung von oben bei den Unterordnern ausschalten und diese mit separaten lokalen Gruppen berechtigen (wenn sehr viele Dateien geplant sind, dann am besten gleich Gruppen für readonly und readwrite vorsehen, damit man später nicht nochmal über alle Files drüberrodeln muss).

Vorzugsweise vorher über alles (ab Root) eine explizite admin-Gruppe mit Vollzugriff drüberlegen, dann kommt man später nicht in die Verlegenheit, dass sich ein neuer Admin durch die UAC Zugriff verschaffen muss, was lange dauern kann und wiederrum zu zusätzlichen ACL-Einträgen führt, die dann später (z.B. wenn der Admin das Unternehmen verlässt) verwaisen.

Um auf deine Frage einzugehen: Besser mehr einzelne Unterordner auf gleicher Ebene und diese separat berechtigen, als zu viele verschachtelte Ordner untereinander. Das bereut man meist irgendwann, wenn's um das Durchvererben von Änderungen geht.
Generell nicht direkt User auf NTFS-Ebene berechtigen, sondern immer über Gruppen arbeiten. Also in diesem Fall entweder eine Gruppe mit Verweigern oder Vererbung für den Unterunterordner abdrehen und dafür eine Erlauben-Gruppe mit anderen Mitgliedern als im Ordner darüber.
 
Genauso machen wir es auch hier, nur wird es irgendwann auch damit aufwendiger. Es lässt sich halt nicht immer vermeiden eine flache Ordnerstruktur zur Verfügung zu stellen.

Danke für die Antworten
 
Wir hatten da auch mal so eine Special Anforderung:

Abteilungchef1 hat unterschiedliche Ordner auf seinem HomeDrive und wollte dass Unterchef1 und Unterchef2 auf ihre jeweiligen Ordner bei bei Chef1 Zugriff bekommen sollen. Da man Chef1 nicht mit einer korrekten IT-logischen Berechtigungshierarchie belästigen wollte haben wir die NTFS Rechte entsprechend gesetzt und bei den Unterchefs Quer-Verknüpfungen zu den Zielverzeichnissen bei Chef 1 eingerichtet. Natürlich hat dann mal Chef 1 bei sich seine Ordner umsortiert, also alles kaputtgemacht. Und nach einem Server Umzug ging natürlich auch nichts mehr, also musste wieder alles neu eingerichtet werden.

Und die Moral von der Geschicht:
Besser mal von Anfang an richtig umgesetzt und den Usern Grenzen gesetzt, ist hinten raus wartungsfreundlicher.


Aber jetzt zu Zeiten von Teams, SharePoint, großen Mail Postfächern, Nextcoud, usw. ist eh alles nur noch Kuddelmuddel.
 
Zurück
Oben