Frage zu den Freigebeberechtigungen – Ordner – Benutzergruppen - Benutzer

    Hallo Leutz!


    Ich stehe gerade auf dem Schlauch. Das nachfolgende Problem ist in dieser Form hier das erste Mal aufgetreten. Ich bin sicher, dass ein vertiefendes Studium des QTS-Manuals in Kombination mit etlichen Versuchen die Lösung bringen kann. Durch Zeitdruck ersuche ich jedoch Euch um Beantwortung meiner Fragen.


    NAS: TS-253, aktuelles QTS.


    2 Benutzer:

    • „Blödel“: Blödel ist Mitarbeiter und soll Vollzugriff auf den Freigabeordner „Kunden“ haben und keinen Zugriff auf den Ordner „Firma“ haben.
    • „Chef“: ist Firmeninhaber und soll Vollzugriff auf den Freigabeordner „Kunden“ haben und Vollzugriff auf den Ordner „Firma“ haben.


    2 Benutzergruppen

    • „Mitarbeiter“. Mitglieder der Benutzergruppe „Mitarbeiter“ sollen Vollzugriff auf den Freigabeordner „Kunden“ haben und keinen Zugriff auf den Ordner „Firma“ haben. In den Freigabeberechtigungen sind die jeweiligen Haken korrekt gesetzt ( R/W für Ordner „Kunden“, Deny für den Ordner „Firma“)
    • „Firma“: Mitglieder der Benutzergruppe „Firma“ sollen Vollzugriff auf den Freigabeordner „Kunden“ haben und Vollzugriff auf den Ordner „Firma“ haben. In den Freigabeberechtigungen sind die jeweiligen Haken korrekt gesetzt ( R/W für Ordner „Kunden“ sowie für den Ordner „Firma“)
    • Ich habe daher den Benutzer „Blödel“ der Gruppe „Mitarbeiter“ und den Benutzer „Chef“ sowohl der Gruppe „Mitarbeiter“ als auch der Gruppe „Firma“ hinzugefügt.


    2 Freigabeordner

    • Kunden: Hier sollte Vollzugriff für beide Benutzer / Benutzergruppen bestehen
    • Firma: Hier sollte für den Benutzer „Blödel / die Benutzergruppe Mitarbeiter“ Zugriffsverweigerung bestehen und für den Benutzer „Chef / die Benutzergruppe Firma“ sollte Vollzugriff bestehen.
    • In den Berechtigungen für den Freigabeordner ist bei den entsprechenden Benutzer- und Gruppenberechtigungen für beide oben angeführten Benutzergruppen der entsprechende Haken gesetzt. ( R/W für Gruppe Firma, Deny für Gruppe Mitarbeiter )


    Beim Benutzer „Chef“ ist nach Durchführung aller oben genannten Maßnahmen beim Freigabeordner „Firma“ ein „Deny – Zugriffsverweigerung “ gesetzt. Es wird vom Windows-Rechner aus das Passwort des Benutzers angefordert und dann wird der Zugriff wegen fehlender Rechte abgelehnt. WARUM ???


    Auf Benutzerebene kann ich die Zugriffsberechtigung des Benutzers „Chef“ nicht von „Deny“ auf „ R/W“ ändern.



    Ich kann nur vermuten, dass mein Gedankenfehler darin liegt, dass der Benutzer „Chef“ in der Benutzergruppe „Firma“ zwar einen R/W-Zugriff hat, in der Gruppe „Mittarbeiter“ jedoch keinen R/W-Zugriff (Deny) hat und dass hier das „Deny“ der einen Gruppe vor dem R/W der zweiten Gruppe Vorrang hat. Ist das korrekt?


    Wie löse ich das Problem? Eine Benutzergruppe je Freigabeordner, der ich dann die entsprechenden Benutzer zuteile oder gibt es da eine elegantere Lösung?


    BRZLFIX

    Zitat von brzlfix

    Ich kann nur vermuten, dass mein Gedankenfehler darin liegt, dass der Benutzer „Chef“ in der Benutzergruppe „Firma“ zwar einen R/W-Zugriff hat, in der Gruppe „Mittarbeiter“ jedoch keinen R/W-Zugriff (Deny) hat und dass hier das „Deny“ der einen Gruppe vor dem R/W der zweiten Gruppe Vorrang hat. Ist das korrekt?

    Ja. Der Chef hat nichts in der Gruppe "Mitarbeiter" zu suchen und gehört nur in die Gruppe "Firma" (die ja den Vollzugriff hat; wozu den dann also auch noch in eine "minderwertigere" Gruppe stecken?).

    Nein... Wie soll ich das sagen....

    Eine Gruppe für jede Gruppe 8o


    Wenn es mehrere User gibt die auf alles zugreifen dürfen, dann eigene Gruppe.

    Wenn es mehrere User gibt die auf A und B aber nicht auf C zugreifen dürfen, dann eigene Gruppe.

    .... Usw....


    Wenn es einen User gibt, der nur lesend auf A und auf den Rest nicht zugreifen darf, dann lohnt keine eigene Gruppe, der kommt dann in "everyone" die bestenfalls gar keine Rechte hat und dann werden dem User die nötigen Rechte direkt gegeben.

    OK!


    Ich glaube, dass ich Dein Konzept jetzt verstanden habe.

    1. Für alle Benutzer, die gleiche Rechte haben sollen, wird eine Gruppe geschaffen.
    2. Ein Benutzer darf nur in einer einzigen Gruppe sein, da sonst unterschiedliche Berechtigungen miteinander kollidieren.


    Dann muss ich das Zugangskonzept noch einmal im Detail durchdenken.

    Ich frag mich, wieso die Gruppe "Mitarbeiter" überhaupt noch dediziert für den Ordner Firma zugeordnet wurde.

    M.E. bekommt die Mitarbeitergruppe nur Schreibrechte für den Mitarbeiterordner und wird sonst nirgends eingetragen.


    Dann kriegt die Gruppe "Firma" noch Schreibrechte für den Kundenordner und fertig.


    User Blödel kommt in die Mitarbietergruppe (und erhält als deren Mitglied (nur) für den Mitarbeiter-Ordner Zugriffsrechte), der Chef kommt in beide Gruppen und erhält darüber auf die beiden Ordner Zugriff.


    Zitat von brzlfix

    .... heisst das dann für eine saubere Lösung :arrow: Eine Benutzergruppe pro Freigabeordner?

    M.E. ja. Vor allem bleibt so eine Struktur auch noch etwas länger verständlich - erst recht, wenn der Gruppenname zum Ordnernamen passt.

    Denn eine Gruppe, die überall Zugriff hat, ist für kleine Firmen noch ok, für große nicht mehr - und später umbauen ist müüühsam ... ;)

    Zitat von tiermutter

    Wenn es einen User gibt, der nur lesend auf A und auf den Rest nicht zugreifen darf, dann lohnt keine eigene Gruppe, der kommt dann in "everyone" die bestenfalls gar keine Rechte hat

    Lass die Finger weg von der Gruppe everyone! In dieser Gruppe ist immer und zu allen Zeiten jeder User per default und unabänderbar.


    Eine Gruppe pro Ordner funktioniert aber schon nicht mehr, wenn noch eine Gruppe benötigt wird, die nur Leserechte hat.

    Zitat von dr_mike

    Eine Gruppe pro Ordner funktioniert aber schon nicht mehr, wenn noch eine Gruppe benötigt wird, die nur Leserechte hat.

    Stimmt, das hatte ich glatt vergessen :)


    Wir haben auf Arbeit für solche Gruppenordner jeweils separate Berechtigungsgruppen mit dem jeweiligen Ordnernamen - samt dem Präfix 'GRP-' (*) sowie entweder dem Suffix '-W' bei Schreibrechten (engl. write) oder dem Suffix '-R' bei (nur) Leserechten (engl. read).

    Macht also je nach Bedarf eine oder zwei Berechtigungsgruppen für jeden freigegebenen Gruppen-Ordner.


    Ich hatte die Frage auch eher so verstanden und in diesem Sinne beantwortet, dass es brzlfix darum ging, ob dedizierte Gruppen je Ordner sinnvoller seien als Gruppen, welche ihre Mitglieder für gleich mehrere Ordner berechtigen.


    Letzteres geht auf Dauer unweigerlich schief, weil dann immer mal Leute kommen, welche eine andere Kombination von Ordnern benötigen und man würde ich sich im Dickicht der Gruppennamen, die mal Zugriff auf die Ordner A, B, und F oder aber B, C, und K oder aber A, C, K, M und Z usw. erlauben, ganz unweigerlich selber verirren. Dann lieber dedizierte Gruppen, die jeweils nur für einen Ordner gelten, und Anwender kannman ganz nach Bedarf in eine, zwei oder noch mehr solcher Gruppen stecken.

    Zudem sieht man in der (oder den beiden) zum Ordner gehörenden Gruppen fix, wer denn auf den jeweiligen Ordner Zugriff (welcher Art) hat - bei "multi-Ordner-Gruppen" müsste man erstmal alls Gruppen zusammensuchen, die Zugriff auf einen Ordner beinhalten, und dann deren Mitglieder ....


    *) Gruppen mit anderer Bestimmung als zur Verwaltung der Zugriffe auf Freigabeordner haben bei uns andere Präfixe, z.B. Mailverteilergruppen oder Berechtigungen für Programme ....

    eol91


    Du liegst mit deiner Vermutung richtig.

    Von welcher Seite her soll ich meinen Fokus in Bezug auf die Berechtigungen hinlegen? Eher von der Seite der Benutzer/Gruppen her oder eher von der Seite der Freigabeordner her?


    So groß ist unsere Firma jetzt nicht, dass ich hier in absehbarer Zeit den Überblick verlieren werde. Trotzdem muß ich das bisherige Konzept ändern und das möchte ich jetzt nur einmal machen müssen.


    Die Idee mit der - entsprechend dem Freigabeordner - benamsten Benutzergruppe je Freigabeordner gefällt mir hier jetzt nicht schlecht. In welche Ordner soll der neue User reinschnüffeln dürfen? Ab in die entsprechenden Gruppen und - hoffentlich - fertig!


    Vielen Dank für den Input.


    BRZLFIX

    Zitat von brzlfix

    Von welcher Seite her soll ich meinen Fokus in Bezug auf die Berechtigungen hinlegen? Eher von der Seite der Benutzer/Gruppen her oder eher von der Seite der Freigabeordner her?

    Die Frage verstehe ich nicht. Das Pinzip von einem bzw. zwei (R/W) Gruppen für jeweils genau einen Freigabeordner ermöglicht eine einerseits präzise wie übersichtliche ZUweisung von Berechtigungen, zudem kann man die Rechte für Benutzeraccounts bei Bedarf leicht anpassen, ohne Die Berechtigungsgruppen jedesmal neu definieren zu müssen.

    Insofern hast du hier sowohl die Ordner wie die Berechtgungsgrupen wie auch die Accounts im Fokus.


    Zitat von brzlfix

    Die Idee mit der - entsprechend dem Freigabeordner - benamsten Benutzergruppe je Freigabeordner gefällt mir hier jetzt nicht schlecht. In welche Ordner soll der neue User reinschnüffeln dürfen? Ab in die entsprechenden Gruppen und - hoffentlich - fertig!

    So isses :)


    Dir bleibt nur noch die Überlegung, ob du funktionale Accounts (FiBu, Perso, GF, Werkstatt o.ä.) favorisierst oder persönliche Accounts (David.Dachs, Emma.Elch, Frida.Fuchs, Manfred.Mammut o.ä.) oder eine Mischung. Hat jeweils Vor- und Nachteile.