none
berechtigungsstruktur in verbindung mit access based enumeration (ABE) RRS feed

  • Frage

  • Ich hätte eine Frage zu der Berechtigungsstruktur bei ABE vielleicht hat ABE schon jemand im Einsatz oder ist sogar ein Professionist und kann mir sein Feedback zu meiner geplanten Struktur geben.

     

    Geplante struktur:

     

    \\fileserver\fileshare$

    >>>Usershares

    >>>>>>>Usershare1

    >>>>>>>Usershare2

     

    >>>Groupshares

    >>>>>>>Groupshare1

    >>>>>>>Groupshare2

     

    Berechtigungen auf der Freigabe bzw. Ordnern sehen wie folgt aus:

     

    \\fileserver\fileshare$

    ABE ist aktiviert

    System (FC)

    Domain admins (FC)

    Fileserver\Administrators (FC)

    Domain Users (List folder / read data – This Folder only)

     

    usershare und groupshare

    Vererbt sind:

    System (FC)

    Domain admins (FC)

    Fileserver\Administrators (FC)

     

    Nicht vererbt:

    Domain Users (Read Permission – This Folder only)

     

    Usershare1 etc.

    Vererbt sind:

    System (FC)

    Domain admins (FC)

    Fileserver\Administrators (FC)

     

    Nicht vererbt:

    Berechtigung für jeden einzelnen user(Modify)

    Domain Users (deny delete – This Folder only)

     

     

    Meine überlegung dazu:

    Zugriff auf \\fileserver\fileshare$ ist durch die gruppe domain user (list folder / read data) erlaubt bzw. eingeschränkt.

    Danach sieht der user die group und usershares da read permission für domain users vorhanden ist.

    Bei den einzelnen usershares sieht nur mehr der user etwas der auch die berechtigung hat etwas zu sehen (mindestens leserecht)

    Ein deny delete für domainuser gibt es auf jeden einzelnen userfolder weil sonst der eigene folder gelöscht werden kann.

    Ich würde euch um euer feedback bitten ob in verbindung mit den berechtigungen insbesonders unter Einbeziehung der gruppe Domain Users zu Problemen kommen kann.

    Ich meine einmal gehört zu haben das man nicht die Gruppe Domain Users verwenden soll sondern eine eigene Gruppe anlegen soll wo die benötigten User Platz finden.

     

    Danke und lg


    Dienstag, 14. Mai 2013 09:46

Alle Antworten

  • Hallo,

    das man nie BuiltinGruppen verwenden soll ist soweit richtig und auch sinnvoll. Sobald du nämlich einen User hast, der warum auch immer keinen Zugriff auf die Ordner haben soll (Praktikant, Azubi, eventuelle Domainmigration usw.) bekommst du Probleme. Ich habe pro Share 2 Gruppen (einmal lesen, einmal schreiben) in dies weise ich dann Benutzer zu. Der große Vorteil dahinter ist, dass wenn man es einmal angelegt hat, Berechtigungen alleine im AD vergeben werden können und man an den ACLs und den Shares nichts mehr drehen muss.

    > deny delete für domainuser

    warum hier ein deny? Könnte man nicht auf dieser Ordnerebene dem User einfach das Schreibrecht nehmen oder sollen die User auf dieser Ordnerebene selbst wild Ordner anlegen können?

    Hoffe ich habe Deine Frage richtig gedeutet.

    Grüße


    Best regards
    Andreas Ernst
    MCITP:EA, MCP, MCTS

    Dienstag, 14. Mai 2013 10:35
  • hallo - erstmal danke für deine antwort!

    das mit den 2 sharegruppe RO und RW haben wir genauso :-)

    das deny für domainuser kommt aus folgendem grund (meiner denkweise zu folge) der user hat die freigabe \\fileserver\fileshare$ wenn er diese verbunden hat dann sieht er usershares und groupshares diese shares kann er nicht löschen da er nur leserecht auf "diesen ordner" hat.

    geht er nun eine ebene tiefer sieht er sein persönliches laufwerk was anderes sieht er nicht aufgrund von ABE.  Innerhalb seinem laufwerk kann er machen was er will - er darf es nur nicht löschen könnne - daher kommt nun das deny für domain user "nur für diesen ordner". Denn sonst öffnet er den ordner usershares und denkt sich vielleicht ah meinen ordner brauche ich nicht mehr und löscht ihn. mit dem deny ist das nicht mehr möglich.


    Dienstag, 14. Mai 2013 11:05