Konzept für die Windows Freigabe

bereits vor einiger Zeit, habe ich einen Artikel zu Freigabe- und NTFS-Berechtigung unter Windows veröffentlicht. Mit diesem Artikel möchte ich ein Konzept vorstellen, dass ich gerne nutze um komplexe Aufgaben in den Windows Freigaben abzubilden. Es ist wahrscheinlich nicht für alle leichte Kost und erfordert ein wenig Konzentration und die Bereitschaft es umsetzten zu wollen. Die Arbeit steckt hier im Detail und in der Vorbereitung.

Die Regeln

Wer den obigen Beitrag gelesen hat, kennt meine Grundregeln, die auch hier angewendet werden:

  • Vollzugriff auf NTFS-Ebene bekommen nur die, die Wissen was sie tun (oder die es wissen sollten) – also nur die Administratoren
  • Rechte nur auf Gruppen, nie Einzelpersonen
  • Nur Rechte gewähren die notwendig sind
  • Kein “Verweigern”

Der Aufbau

Ich setze in diesem Konzept auf reine NTFS-Berechtigungen. Die Freigabe selbst ist somit für „Jeder“ mit dem Recht „Vollzugriff versehen“. Das Verzeichnis befindet sich im Netzwerk und ist versteckt (spielt aber keine Rolle für die Zugriffe).

Screenshot: Freigabe Jeder mit Vollzugriff
Screenshot: Freigabe Jeder mit Vollzugriff

Das Verzeichnis selbst ist Unterteilt in „Abteilungen“ und „Home“. Im letzteren liegen das persönliche Verzeichnis der User, das mit der Anmeldung automatisch gemapped wird.

Das Verzeichnis „Abteilung“ ist wiederum in einzelne Bereiche und diese ggf. noch weiter aufgeteilt. Der nachfolgende Screenshot zeigt den Aufbau:

Screenshot: Aufbau Freigabeverzeichnis
Screenshot: Aufbau Freigabeverzeichnis

Auf dem obersten Verzeichnisbaum „Shares“ wurde die Vererbung unterbrochen und einer Administrativen Gruppe „grp.admins_domain“ Vollzugriff gewährt.

Die einfache Berechtigung

Wenn man nun z.B. die Buchhaltung für das Abteilungsverzeichnis Buchhaltung berechtigen möchte, kann das einfach über die NTFS Berechtigung gesetzt werden.

Screenshot NTFS Berechtigung der Buchhaltungsgruppe
Screenshot NTFS Berechtigung der Buchhaltungsgruppe

Man beachte: die administrative Gruppe wurde wieder vererbt und die Abteilungsgruppe „grp.abt_Buchhaltung“ berechtigt.

Die Freigabe kann nun direkt über „\\<servername\Share$\Abteilungen\Buchhaltungen“ auf die Gruppe gemapped werden. Ich empfehle hier die Group Policy Preferences (GPP).

Screenshot GPP - Laufwersmapping
Screenshot GPP – Laufwersmapping

Nach der Eingabe des Speicherorts, sollte man die Zielgruppenadressierung nicht vergessen.

Screenshot GPP: Zielgruppenadressierung
Screenshot GPP: Zielgruppenadressierung

Die Berechtigungen in der Praxis

Wer die mit der einfachen Berechtigung auskommt – Bingo. In der Praxis habe ich aber die Erfahrung gemacht, dass uns diese Situation selten begegnet. In einem weiteren Beispiel geht es um die Consulting-Abteilung. Diese besteht aus mehreren Teams, die wiederum nicht in die Freigaben der anderen Teams wechseln darf. Jedes Team hat einen Teamleiter, dies sich über ein gemeinsame Freigabe austauschen. Der Abteilungsleiter hat sein eigenes Laufwerk auf dem kein anderer der Abteilung zugreifen darf, er aber wiederum in alle anderen Freigaben. Und wäre das noch nicht komplex genug, benötigen alle der Abteilung ein Verzeichnis, in dem sie sich Austauschen können. Es darf nur ein Laufwerksbuchstabe für alle verwendet werden.

Verwirrt? Bekannt? und die Lösung parat?

Ich versuche es zu entwirren und es gibt dafür eine Lösung. Jetzt wird es schmutzig, …

Die AD-Gruppen der Consulting-Abteilung

Bei dieser Herausforderung sind natürlich die AD-Gruppen der Weg, den man einschlagen sollte. Damit kann man bereits viel lösen aber nicht alle Aufgaben. Um mir das Leben leichter zu machen arbeite ich mit Gruppenverschachtelung.

!Vorsicht, mit einer solchen Verschachtelung kann man sich ganz schnell die Karten legen.

Die Verschachtelung sieht in meinem Beispiel wie folgt aus:

  • grp.abt_Consulting
    • Member:
      • grp.abt_Consulting_AL (=Abteilungsleiter)
      • grp.abt_Consulting_SG (=Sachgebiet, Austausch) Hinweis: In diesem Beispiel eigentlich unnötig, da die Gruppe nicht benötigt wird
      • grp.abt_Consulting_TeamA (=User TeamA)
      • grp.abt_Consulting_TeamB (=User TeamB)
      • grp.abt_Consulting_TeamC (=User TeamC)
      • grp.abt_Consulting_TL (=Teamleiter)
  • grp.abt_Consulting_AL ist Mitglied in allen anderen Abteilungsgruppen:
    • grp.abt_Consulting_SG (=Sachgebiet, Austausch) Hinweis: In diesem Beispiel eigentlich unnötig, da die Gruppe nicht benötigt wird
    • grp.abt_Consulting_TeamA (=User TeamA)
    • grp.abt_Consulting_TeamB (=User TeamB)
    • grp.abt_Consulting_TeamC (=User TeamC)
    • grp.abt_Consulting_TL (=Teamleiter)

Und das war es bereits auf der Gruppenebene und wir können uns um die NTFS-Berechtigungen kümmern.

NTFS-Berechtigung der Consulting-Abteilung

Das „Root“-Verzeichnis der Abteilung wird für die Abteilung selbst (grp.abt_Consulting) mit den Berechtigungen „Lesen, Ausführen“ und „Nur für diesen Ordner“ versehen. Hiermit ermöglich man nun, dass jeder das Verzeichnis „\\<servername\Share$\Abteilungen\Consulting“ betreten darf.

Screenshot: NTFS-Freigabe Abteilungsverzeichni
Screenshot: NTFS-Freigabe Abteilungsverzeichnis

Nun sind auf die Unterverzeichnisse die entsprechenden Rechte zu setzen.

  • Verzeichnis: Abteilungsleitung
    • grp.abt_consulting_AL – Recht „Ändern“
  • Verzeichnis: Austausch
    • grp.abt_consulting – Recht „Ändern“
  • Verzeichnis: TeamA
    • grp.abt_consulting_TeamA – Recht „Ändern“
  • Verzeichnis: TeamB
    • grp.abt_consulting_TeamB – Recht „Ändern“
  • Verzeichnis: TeamC
    • grp.abt_consulting_TeamC – Recht „Ändern“
  • Verzeichnis: Teamleiter
    • grp.abt_consulting_TL – Recht „Ändern“

Das Mapping des Laufwerks

Das Mapping des Laufwerks wird wie oben beschrieben am einfachsten über die GPPs bewerkstelligt. Mit Hilfe der Zielgruppenadressierung wird der Rest erledigt.

  • grp.abt_consulting_TeamA wird gemapped auf „\\<servername\Share$\Abteilungen\Consulting\TeamA“
  • grp.abt_consulting_TeamB wird gemapped auf „\\<servername\Share$\Abteilungen\Consulting\TeamB“
  • grp.abt_consulting_TeamC wird gemapped auf „\\<servername\Share$\Abteilungen\Consulting\TeamC“
  • grp.abt_consulting_TL wird gemapped auf „\\<servername\Share$\Abteilungen\Consulting\TL“
  • grp.abt_consulting_AL wird gemapped auf „\\<servername\Share$\Abteilungen\Consulting“

Man sollte die Reihenfolge beachten. Die GPP verabeitet die einzelnen Sätze nacheinander nach dem Prinzip „Last Writer Wins“. Bezogen auf unser Beispiel sehen die TL und AL alle Verzeichnisse. Wobei die Teamleiter nicht in das Abteilungsleitungs-Verzeichnis wechseln können.

Nun bleibt noch die letzte Aufgabe. Die Team-Mitglieder die nicht AL oder TL sind benötigen einen Zugang zum Austausch-Verzeichnis. Dies wird durch eine Verknüpfung, die in den Verzeichnissen der Teams angelegt wird gelöst.

Screenshot: Verknüpfung
Screenshot: Verknüpfung

 

Auch noch komplexere Aufbauten sollten kein Problem darstellen.

Noch ein paar  kleinere Tipps zum Schluss:

  • man kann dies selbstverständlich mit DFS kombinieren, wenn es sich um verteilte Strukturen handelt -> ist immer eine gute Idee
  • baut euch eine Logik auf, die euch später helfen kann. Meine Namen der Gruppen sind nicht umsonst so gewählt. Wenn ich wieder ein wenig Zeit habe, werde ich in einen weiteren Blogbeitrag über die automatische Gruppenzuordnung anhand von Benutzerkonten veröffentlichen.
  • nehmt euch Zeit, tut euch die Ruhe an
  • Testet, testet und testet, bis ihr euch sicher fühlt
  • Viele Wege führen nach Rom, sucht euch einen

Ich hoffe ich habe euch nicht komplett verwirrt und ihr konntet dem Konzept etwas abgewinnen.

Ein Gedanke zu „Konzept für die Windows Freigabe

  1. Hallo Alex,

    erstmal vielen Dank, dein Artikel hat mir sehr geholfen mich in die Materie einzuarbeiten.
    Ich konnte ihn prima auf unsere Anforderungen anwenden.
    Zwei komplexe Aufgaben habe ich jetzt noch die ich bisher nicht zufriedenstellend lösen konnte.
    Der Anschaulichkeit halber übertrage ich sie mal auf Dein Beispiel:
    Aufgabe 1: Ein User aus Abteilung A benötigt Ändern-Rechte auf einem Unterordner des Abteilungsleiters.
    Wie gehe ich am besten vor? Den Share vom AL auch für den User freigeben und nur bei dem Unterodner Rechte setzen? Die anderen Ordner dürfte er ja dann bei aktivierter ABE nicht zu sehen bekommen. Oder besser den Unterordner als eigenen Share einrichten?
    Aufgabe 2: Nur der AL soll das Recht haben Ordner im Share zu erstellen. Das lässt sich ja nur über Entzug von Rechten regeln, oder? Wie regele ich das ohne dass die User das Recht verlieren Dateien zu erstellen?

    Wäre klasse wenn Du mir ein paar Tipps geben könntest wie sich das sauber umsetzen lässt.

    Viele Grüße

    Nicolas

Kommentar verfassen