Ga naar inhoud

rechtenstructuur en groepen


anoniem

Aanbevolen berichten

Heb de volgende situatie, gezien van uit de verkenner/AD, betreft Server 2008. gebruik 1 = lid groep D-Haaglanden, rechten stromen door gebruik 2 = lid groep D-Haaglanden en D-Pers SHARE (rechten alleen administrator) - hoofdmap/directory Den Haag - rechten (wijzigen) D-Haaglanden - submap/directory Pietje - rechten 1 (wijzigen) D-Haaglanden - submap/directory Pukkie - rechten 1(wijzigen) D-Haaglanden - submap/directory Pers - rechten 1+2 (wijzigen D-Haaglanden en D-Pers) - submap/directory Trix - rechten 1 (wijzigen) D-Haaglanden Zoals je ziet kan iemand die lid is van D-Haaglanden in alle mappen onder de share (Petje, Pukkie, Pers en Trix). Nu is er 1 map genaamd Pers waar alleen de gebrukers Pers in mag vanwege vertrouwelijke gegevens. Daar de persoon "Pers" lid is van 2 groepen die beide rechten hebben op deze hoofdmap is het volgens mij onmogelijk om alleen op deze directory een uitzondering te maken. Als ik rechten blokkeer op D-Haaglanden dan kan dit niet omdat ik iemand blokkeer die vanuit een andere groep D-Pers hier ook rechten op heeft. Wat zijn de opties, volgens mij maar eentje en dat is de map "Pers" onder een andere directory te zetten dan Den Haag. Advies?????????
Link naar reactie
Zo te zien heb je de rechten niet ingedeeld volgens het "AGDLP" principe van Microsoft. Dit wil zeggen dat je [b:d753b5ef7e]A[/b:d753b5ef7e]ccounts in [b:d753b5ef7e]G[/b:d753b5ef7e]lobal groups zet. Deze zet je weer in [b:d753b5ef7e]D[/b:d753b5ef7e]omain [b:d753b5ef7e]L[/b:d753b5ef7e]ocal groups en hier wijs je de [b:d753b5ef7e]P[/b:d753b5ef7e]ermissions aan toe... Concreet betekent dit dat je voor iedere submap onder je data-share een domain local group maakt (eventueel meerdere als je verschillende typen rechten wil toekennen). Vervolgens maak je global groups naar hoe je organisatie eruit ziet (algemeen, personeelszaken, directie enz) en deze maak je lid van de betreffende domain local group, zodat deze mensen de juiste rechten krijgen. Pas vervolgens de juiste rechten toe op de subdirectories. Twee dingen zijn hierin van belang: - Op de hoofddirectory moet je zorgen dat in ieder geval het administrator account alle rechten krijgt. Doe dit ook weer volgens het AGDLP principe. Laat de subfolders deze rechten erven. - Op de hoofddirectory moeten alle gebruikers het recht "list folder contents" krijgen, zodat ze in ieder geval wel de inhoud van de hoofddirectory kunnen zien. Doe dit door een aparte domain local group aan te maken voor de hoofddirectory waar een global group 'alle gebruikers' lid van is, waar vervolgens alle gebruikers in komen te staan. Deze domain local group geef je 'read and execute' rechten, maar via de knop 'advanced' pas je die alleen toe op de folder en niet op de subfolders en files. Heel verhaal, maar ik hoop dat je er een beetje uitkomt. Het lijkt heel onoverzichtelijk, maar uiteindelijk ben je heel flexibel in het toekennen van rechten. PS: waren de problemen die je vorige week had nog opgelost? Het zou fijn zijn als je daar nog een terugkoppeling op kan geven in het betreffende topic.
Link naar reactie
Het is inmiddels opgelost. De rechten stroomden vanaf de share door naar beneden. Deze inherit rights zijn afgenomen zodat deze op een specifieke personeels folder/directory geblokkeerd kon worden. Toen ging er van alles mis maar dat had te maken met het feit dat in deze directory zoveel qua lagen en diepte en lengte van directorynamen zelf >255 tekens kwam. Windows krijgt dan problemen maar middels een script (die ik zelf niet gedraaid heb) en een gewillige backup is het weer recht getrokken. Op deze specifieke directory zijn rechten ontnomen van de groep die hier niet meer in mocht kijken. (lastig uitleggen). In de toekomst moeten we naar een andere structuur, minder geografisch maar gericht op specialisme (marketing, personeel, management etc.) en ik zal zeker rekening houden met de groepstructuur volgens de aangegeven methode.
Link naar reactie

Om een reactie te plaatsen, moet je eerst inloggen

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Herstel opmaak

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

×
×
  • Nieuwe aanmaken...