Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Servers

rechtenstructuur en groepen

oghkru
2 antwoorden
  • Heb de volgende situatie, gezien van uit de verkenner/AD, betreft Server 2008.

    gebruik 1 = lid groep D-Haaglanden, rechten stromen door
    gebruik 2 = lid groep D-Haaglanden en D-Pers

    SHARE (rechten alleen administrator)
    - hoofdmap/directory Den Haag - rechten (wijzigen) D-Haaglanden
    - submap/directory Pietje - rechten 1 (wijzigen) D-Haaglanden
    - submap/directory Pukkie - rechten 1(wijzigen) D-Haaglanden
    - submap/directory Pers - rechten 1+2 (wijzigen D-Haaglanden en D-Pers)
    - submap/directory Trix - rechten 1 (wijzigen) D-Haaglanden

    Zoals je ziet kan iemand die lid is van D-Haaglanden in alle mappen onder de share (Petje, Pukkie, Pers en Trix). Nu is er 1 map genaamd Pers waar alleen de gebrukers Pers in mag vanwege vertrouwelijke gegevens.

    Daar de persoon "Pers" lid is van 2 groepen die beide rechten hebben op deze hoofdmap is het volgens mij onmogelijk om alleen op deze directory een uitzondering te maken. Als ik rechten blokkeer op D-Haaglanden dan kan dit niet omdat ik iemand blokkeer die vanuit een andere groep D-Pers hier ook rechten op heeft.

    Wat zijn de opties, volgens mij maar eentje en dat is de map "Pers" onder een andere directory te zetten dan Den Haag.
    Advies?????????
  • Zo te zien heb je de rechten niet ingedeeld volgens het "AGDLP" principe van Microsoft. Dit wil zeggen dat je [b:d753b5ef7e]A[/b:d753b5ef7e]ccounts in [b:d753b5ef7e]G[/b:d753b5ef7e]lobal groups zet. Deze zet je weer in [b:d753b5ef7e]D[/b:d753b5ef7e]omain [b:d753b5ef7e]L[/b:d753b5ef7e]ocal groups en hier wijs je de [b:d753b5ef7e]P[/b:d753b5ef7e]ermissions aan toe…

    Concreet betekent dit dat je voor iedere submap onder je data-share een domain local group maakt (eventueel meerdere als je verschillende typen rechten wil toekennen). Vervolgens maak je global groups naar hoe je organisatie eruit ziet (algemeen, personeelszaken, directie enz) en deze maak je lid van de betreffende domain local group, zodat deze mensen de juiste rechten krijgen. Pas vervolgens de juiste rechten toe op de subdirectories.

    Twee dingen zijn hierin van belang:
    - Op de hoofddirectory moet je zorgen dat in ieder geval het administrator account alle rechten krijgt. Doe dit ook weer volgens het AGDLP principe. Laat de subfolders deze rechten erven.
    - Op de hoofddirectory moeten alle gebruikers het recht "list folder contents" krijgen, zodat ze in ieder geval wel de inhoud van de hoofddirectory kunnen zien. Doe dit door een aparte domain local group aan te maken voor de hoofddirectory waar een global group 'alle gebruikers' lid van is, waar vervolgens alle gebruikers in komen te staan. Deze domain local group geef je 'read and execute' rechten, maar via de knop 'advanced' pas je die alleen toe op de folder en niet op de subfolders en files.

    Heel verhaal, maar ik hoop dat je er een beetje uitkomt. Het lijkt heel onoverzichtelijk, maar uiteindelijk ben je heel flexibel in het toekennen van rechten.

    PS: waren de problemen die je vorige week had nog opgelost? Het zou fijn zijn als je daar nog een terugkoppeling op kan geven in het betreffende topic.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.