none
Benutzergruppe auflösen und Berechtigungen auf User "übertragen" RRS feed

  • Frage

  • Hallo liebe Forenmitglieder, 

    wir haben in unserer Umgebung folgendes Szenario: 
    Jeder unserer AD-Benutzer ist Mitglied einer Gruppe, die nach seinem Anmeldenamen benannt ist. 
    Beispiel User "Müller" ist Mitglied der Gruppe "Müller-G". User Müller ist auch das einzige Mitglied der Gruppe Müller-G. 
    Unsere Verzeichnisrechte setzen wir also nicht mit dem User Müller, sondern immer der Gruppe Müller-G, in der der User selbst Mitglied ist. Diese Konstellation wurde vor etlichen Jahren in einer Schulung empfohlen, sodass wir dies bis heute beibehalten haben. 
    Nun würden wir unsere Struktur mit der Gruppe Müller-G auflösen, sodass nur noch der User Müller vorhanden ist. 
    Da ja all seine Berechtigungen unter der Gruppe Müller-G gesetzt wurden, können wir nicht einfach so die Gruppe entfernen, da der User selbst sonst keine Berechtigungen auf seine Verzeichnisse mehr besitzt. 

    Nun die eigentlichen Fragen: 

    - Ist es sinnvoll, diese o.g. Konstellation aus vorteilhaften Gründen trotzdem beizubehalten? 
    In einem Artikel las ich, dass Benutzer selbst nicht auf das Verzeichnis direkt berechtigt werden sollten, da falls der User zu einem späteren Zeitpunkt gelöscht wird, im Berechtigungseintrag eine "verwaiste SID" zurückbleibt. 

    - Gibt es eine Lösung, wie man alle gesetzten Verzeichnisrechte der Gruppe Müller-G auf den Benutzer Müller "übertragen" kann? Mittels kostenlosen Tools lassen sich ja Berechtigungen von Verzeichnissen einfach auslesen. Uns geht es um das Setzen der Berechtigungen, was bei etwa 400 AD-Benutzer alle manuell zu setzen sehr aufwendig wäre.  

    - Wie verfahrt Ihr in eurer Umgebung? 

    Natürlich verwenden wir auch allgemeine Gruppen, in denen mehrere User Mitglied sind. Wir haben aber auch Verzeichnisse, auf denen nur 1 User berechtigt ist, sodass wir in den Fällen nur mit Einzelrechten arbeiten können. 

    Vielen Dank und mit freundlichen Grüßen, 

    Anko93 

    Freitag, 19. Juli 2019 09:40

Antworten

  • Moin,

    in Bezug auf Berechtigungsvergabe gibt es drei Arten von Verzeichnissen:

    1. persönliche, dabei geht es um deren Funktion, nicht um die vermeintliche Vertraulichkeit der Dokumente, die der User dort ablegt. Das sind Home-Laufwerke, Roaming Profiles, umgeleitete Ordner, persönliche Ordner von 3rd-Party-Profilverwaltungen. Hier hat nur der User namentlich Zugriff. Gruppenkonstruktionen werden manchmal bei Migrationen verwendet, aber das ist eher selten.
    2. gemeinsame, auch wenn die jeweilige Nutzerschaft aus nur einem User besteht. Das sind halt dann Dateien, die der Organisation gehören und mit dem Wegfall eines Benutzers nicht verloren gehen dürfen. Hier gilt das, was in der Schulung gesagt wurde: Berechtigungsvergabe nur über Gruppen. ABER. Selbst wenn heute nur Herr Müller die Eingangsrechnungen bearbeitet, heißen die Gruppen für diesen Ordner trotzdem "Eingangsrechnungen-Lesen" und "Eingangsrechnungen-Schreiben" und nicht "Müller-G". In diese Gruppen kommen dann die User rein - entweder direkt oder über Rollengruppen
    3. Exoten, die hier keine Rolle spielen: Black Hole, anonym usw.

    Insofern kann es in manchen Fällen sinnvoll sein, "Müller-G" einfach in "Eingangsrechnungen-Schreiben" umzubenennen. In anderen Fällen wird man die Gruppe auflösen müssen, falls es sich beim Verzeichnis wirklich um das Home-Laufwerk von Müller handelt. Tools dafür sind Legion: PowerShell, SetACL von Helge Klein, cacls usw. usf.



    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 19. Juli 2019 21:56
  • Hi
     
    Simple Regel:
    - wenn mehr als eine Person zugreifen muss -> Gruppe
    - wenn nur eine einzoge Person zugreifen muss/darf -> User
    - wenn zurzeit nur einer zugreifen muss, aber vielleicht irgendwann ein
    2ter -> Gruppe
     
    Umbau würde ich per setacl.exe in der cmd machen.
    Export der Rechte, dann in der Textdatei suchen/ersetzen, dann wieder
    importieren.
     
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Samstag, 20. Juli 2019 07:53

Alle Antworten

  • Moin,

    in Bezug auf Berechtigungsvergabe gibt es drei Arten von Verzeichnissen:

    1. persönliche, dabei geht es um deren Funktion, nicht um die vermeintliche Vertraulichkeit der Dokumente, die der User dort ablegt. Das sind Home-Laufwerke, Roaming Profiles, umgeleitete Ordner, persönliche Ordner von 3rd-Party-Profilverwaltungen. Hier hat nur der User namentlich Zugriff. Gruppenkonstruktionen werden manchmal bei Migrationen verwendet, aber das ist eher selten.
    2. gemeinsame, auch wenn die jeweilige Nutzerschaft aus nur einem User besteht. Das sind halt dann Dateien, die der Organisation gehören und mit dem Wegfall eines Benutzers nicht verloren gehen dürfen. Hier gilt das, was in der Schulung gesagt wurde: Berechtigungsvergabe nur über Gruppen. ABER. Selbst wenn heute nur Herr Müller die Eingangsrechnungen bearbeitet, heißen die Gruppen für diesen Ordner trotzdem "Eingangsrechnungen-Lesen" und "Eingangsrechnungen-Schreiben" und nicht "Müller-G". In diese Gruppen kommen dann die User rein - entweder direkt oder über Rollengruppen
    3. Exoten, die hier keine Rolle spielen: Black Hole, anonym usw.

    Insofern kann es in manchen Fällen sinnvoll sein, "Müller-G" einfach in "Eingangsrechnungen-Schreiben" umzubenennen. In anderen Fällen wird man die Gruppe auflösen müssen, falls es sich beim Verzeichnis wirklich um das Home-Laufwerk von Müller handelt. Tools dafür sind Legion: PowerShell, SetACL von Helge Klein, cacls usw. usf.



    Evgenij Smirnov

    http://evgenij.smirnov.de

    Freitag, 19. Juli 2019 21:56
  • Hi
     
    Simple Regel:
    - wenn mehr als eine Person zugreifen muss -> Gruppe
    - wenn nur eine einzoge Person zugreifen muss/darf -> User
    - wenn zurzeit nur einer zugreifen muss, aber vielleicht irgendwann ein
    2ter -> Gruppe
     
    Umbau würde ich per setacl.exe in der cmd machen.
    Export der Rechte, dann in der Textdatei suchen/ersetzen, dann wieder
    importieren.
     
     
    Tschö
    Mark
    --
    Mark Heitbrink
     
    Homepage:  http://www.gruppenrichtlinien.de - deutsch
     
    GET Privacy and DISABLE Telemetry on Windows 10
     
    Samstag, 20. Juli 2019 07:53
  • Hallo, 

    vielen Dank für die hilfreichen Antworten. 

    Ich werde mir mal das Tool setacl.exe genauer ansehen. 

    Mit freundlichen Grüßen, 

    AnKo93

    Montag, 22. Juli 2019 10:00