Discussion:
User auf ihre OUs beschränken bei Setzen von NTFS Berechtigungen?
(zu alt für eine Antwort)
Frank Röder [MVP]
2006-12-12 08:15:35 UTC
Permalink
Hallo Leute,
gibt es eine Möglichkeit, den Suchpfad beim Setzen von Berechtigungen auf
einen Ordner auf eine bestimmte OU zu beschränken?
BSP: Zwei OUs - Firma x und Firma y. Jede OU hat verschiedene User
enthalten. Ein User der Firma x macht einen Rechtsklick auf einen Ordner -
Eigenschaften - Sicherheit - Hinzufügen - Erweitert und dann auf "Jetzt
suchen". Hier werden dann alle User, Gruppen, Objekte, usw. angezeigt, die es
im AD gibt. Ziel ist es aber, dass dieser User dann auch nur die User,
Gruppen, usw. der OU Firma x angezeigt bekommt.
Geht sowas?
Ja das geht. Der einfachste Weg wäre hier, zwei Sicherheitsgruppen zu
erzeugen(Firma-A, Firma-B). Du steckst in diese Gruppen jeweils die
Benutzer der jeweiligen Firma. Danach verweigerst Du der einen Gruppe
den kompletten Zugriff auf die oberste OU der anderen Firma und
umgekehrt. Zusätzlich kannst Du den beiden Gruppen noch den Zugriff auf
den Container Users und Builtin verweigern. Dadurch können die nur noch
die Benutzer sehen, die zu Ihrer Firma gehören.

Achtung! Bitte nicht an den Standardberechtigungen des AD fummeln
sondern mit den oben angeführten Sicherheitsgruppen arbeiten!
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Christian Stenger
2006-12-12 09:05:22 UTC
Permalink
Besten Dank für die schnelle Antwort. Werde es mal probieren. Was nur etwas
doof ist - Firma x und y waren nur beispielhaft. In wirklichkeit gibt es etwa
25 solcher firmen und es werden monatlich mehr. Das heißt, ich muss da ganz
schön viel konfigurieren. Kann man da eventuell per ADSIEDIT etwas machen?
Ähnlich wie bei Exchange und OWA wo man festlegen kann, in welcher OU der
User Kontakte suchen darf...

Viele Grüße
Christian
Post by Frank Röder [MVP]
Hallo Leute,
gibt es eine Möglichkeit, den Suchpfad beim Setzen von Berechtigungen auf
einen Ordner auf eine bestimmte OU zu beschränken?
BSP: Zwei OUs - Firma x und Firma y. Jede OU hat verschiedene User
enthalten. Ein User der Firma x macht einen Rechtsklick auf einen Ordner -
Eigenschaften - Sicherheit - Hinzufügen - Erweitert und dann auf "Jetzt
suchen". Hier werden dann alle User, Gruppen, Objekte, usw. angezeigt, die es
im AD gibt. Ziel ist es aber, dass dieser User dann auch nur die User,
Gruppen, usw. der OU Firma x angezeigt bekommt.
Geht sowas?
Ja das geht. Der einfachste Weg wäre hier, zwei Sicherheitsgruppen zu
erzeugen(Firma-A, Firma-B). Du steckst in diese Gruppen jeweils die
Benutzer der jeweiligen Firma. Danach verweigerst Du der einen Gruppe
den kompletten Zugriff auf die oberste OU der anderen Firma und
umgekehrt. Zusätzlich kannst Du den beiden Gruppen noch den Zugriff auf
den Container Users und Builtin verweigern. Dadurch können die nur noch
die Benutzer sehen, die zu Ihrer Firma gehören.
Achtung! Bitte nicht an den Standardberechtigungen des AD fummeln
sondern mit den oben angeführten Sicherheitsgruppen arbeiten!
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Frank Röder [MVP]
2006-12-12 18:20:20 UTC
Permalink
Post by Christian Stenger
Besten Dank für die schnelle Antwort. Werde es mal probieren. Was nur etwas
doof ist - Firma x und y waren nur beispielhaft. In wirklichkeit gibt es etwa
25 solcher firmen und es werden monatlich mehr. Das heißt, ich muss da ganz
schön viel konfigurieren. Kann man da eventuell per ADSIEDIT etwas machen?
Ähnlich wie bei Exchange und OWA wo man festlegen kann, in welcher OU der
User Kontakte suchen darf...
keine Chance. Du kannst es nicht anders einschränken als mit
Berechtigungen. Ein Festlegen des basedn, wie unter Exchange, geht
leider nicht.
--
Viele Grüße
Frank Röder
MVP Windows Server System - Directory Services
"Ex oriente lux"
Nils Kaczenski [MVP]
2006-12-15 10:05:31 UTC
Permalink
Moin,
Post by Christian Stenger
Besten Dank für die schnelle Antwort. Werde es mal probieren. Was nur etwas
doof ist - Firma x und y waren nur beispielhaft. In wirklichkeit gibt es etwa
25 solcher firmen und es werden monatlich mehr. Das heißt, ich muss da ganz
schön viel konfigurieren.
wenn du es richtig machst (sprich: das Windows-Gruppenkonzept ausnutzt),
musst du nicht allzu viel konfigurieren:

- pro "Firma" je eine domänenlokale Gruppe "FirmaX_OU_Lesen_erlaubt" und
"FirmaX_OU_Lesen_verboten". Nur diese beiden Gruppen fügst du zur
Berechtigungsliste der Firmen-OU hinzu und erteilst diesen die passenden
Rechte. Danach musst du die Berechtigungsliste nie mehr anfassen.
- Alle Benutzer einer Firma steckst du in je eine Globale Gruppe "FirmaX".
- In die Erlauben-Gruppen steckst du jetzt jeweils die Firmengruppen,
die lesen dürfen. In die Verbieten-Gruppen kommen die, die nicht lesen
dürfen. Sprich: Die konkrete Verwaltung, wer was darf, läuft
ausschließlich über Gruppenmitgliedschaften.

Auch bei 25 Firmen ein überschaubarer Aufwand. Und es lässt sich für die
Zukunft sogar automatisieren, wenn man ein passendes Konzept hat.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Das MVP-Server-Buch: http://www.faq-o-matic.net/content/view/253/2/
Loading...