Directory Server User ist Mitglied von mehreren Gruppen – Rechtevergabe

Hruendel

Benutzer
Mitglied seit
14. Jun 2008
Beiträge
374
Punkte für Reaktionen
1
Punkte
24
Hallo,

in einem Kleinbetrieb versuche ich den Directory Server einzurichten. Alles funktioniert bisher hervorragend.

Mit den Gruppenrechten habe ich ein Verständnisproblem. Es existieren mehrere Gruppen (Vertrieb, Buchhaltung, EDV usw.)
Manche User übernehmen Tätigkeit in unterschiedlichen Bereichen. Zum Beispiel gibt es welche die gleichzeitig dem Vertrieb und Buchhaltung angehören, weil sie Kollegen vertreten müssen.

Die Gruppen haben Zugriffsrechte auf unterschiedliche Ordner. Vertrieb auf den Vertrieb, Buchhaltung auf Buchhaltung. Dem Vertrieb muss der Zugriff auf Buchhaltung verwehrt werden. Wenn ein User Gruppenmitglied von Vertrieb und der Buchhaltung ist wird ihm der Zugriff auf Buchhaltung versperrt.

Wenn in einer der Gruppen der Zugriff erteilt ist sollte meiner Logik nach dem User der Zugriff auf den Ordner gewehrt werden. Es ist aber scheinbar umgekehrt - wenn in einer der Gruppen der Zugriff verwehrt ist hat der User kein Zugriff auf den Ordner.

Ist es wirklich so oder übersehe ich da etwas?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Im Prinzip musst du für alle Eventualitäten/Konstellationen eine Gruppe haben, am besten mit keinen Überschneidungen. Dann kannst du dediziert jedem User - auch temporär - die entsprechenden (Vertretungs)Rechte zuordnen.

Rechtevergabe sollte nach dem Prinzip erfolgen: "So wenig wie möglich, so viel wie nötig."
 
  • Like
Reaktionen: maxblank

Hruendel

Benutzer
Mitglied seit
14. Jun 2008
Beiträge
374
Punkte für Reaktionen
1
Punkte
24
Kann man die Zuordnung irgendwie umkehren?

Ansonsten kann man Gruppen wie "Nicht Buchhaltung", "Nicht Vertrieb", "Nicht EDV" anlegen und die Nutzer so zuordnen. Das klingt aber irgendwie schräg.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Dann definiere es doch über "Rollen": Buchhaltung, Vertrieb, usw. und weise jedem seine Rechte/Zugriffe zu. Wenn Mitarbeiter A (Buchhaltung) zwei Wochen den Vertrieb mit übernehmen soll, dann bekommt er für diesen Zeitraum das Rollenprofil Vertrieb "on top", danach werden ihm die Rechte wieder entzogen.

Dafür musst du aber erstmal sinnvolle Rollenprofile erstellen. Also, die Gruppen sauber zu definieren, die Zuordnung von Gruppenmitgliedern ist der einfachere Part.
 
  • Like
Reaktionen: maxblank

Hruendel

Benutzer
Mitglied seit
14. Jun 2008
Beiträge
374
Punkte für Reaktionen
1
Punkte
24
Im Prinzip musst du für alle Eventualitäten/Konstellationen eine Gruppe haben, am besten mit keinen Überschneidungen.

Warscheinlich ist das die einzige und die richtige Lösung.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Natürlich kann es in den Profilen Überschneidungen geben. Die müssen aber dauerhaft gewollt sein (bspw. eine gemeinsame Share). Ansonten sauber trennen.
 
  • Like
Reaktionen: maxblank

Hruendel

Benutzer
Mitglied seit
14. Jun 2008
Beiträge
374
Punkte für Reaktionen
1
Punkte
24
Das ist korrekt. Viele Standards in dieser Welt sind aber nicht korrekt.

Wenn ich zwei Leuten Schlüssel von unterschiedlichen Räumen gebe kommen sie in die Räume rein von denen Sie die Schlüssel haben.

Wenn ich einem Mitarbeiter zwei Rollen zuordne sollte er die Rollen ausführen können. Ansonsten macht Zuordnung eines Nutzers mehreren Gruppen keinen Sinn. Das ist aber in der Software oder in diesem Standard möglich.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.160
Punkte für Reaktionen
2.178
Punkte
289
Dann erstelle Vertretergruppen, in denen für den Zeitraum die Berechtigungen „überschneidend“ abgedeckt sind.
Aus den anderen Gruppen werden die Mitarbeiter in der Zeit entfernt.
 
  • Like
Reaktionen: *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Die Zuordnung während der Vertretung soll auch nur temporär sein. Das ist die Arbeit des "Admin/Service Desk", der gemäß Antrag dem User X für einen bestimmten Zeitraum die Rechte Y zuweist. Saubere Gruppen, saubere Trennung.
 
  • Like
Reaktionen: maxblank

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.033
Punkte für Reaktionen
1.615
Punkte
308
Die Gruppen haben Zugriffsrechte auf unterschiedliche Ordner. Vertrieb auf den Vertrieb, Buchhaltung auf Buchhaltung. Dem Vertrieb muss der Zugriff auf Buchhaltung verwehrt werden. Wenn ein User Gruppenmitglied von Vertrieb und der Buchhaltung ist wird ihm der Zugriff auf Buchhaltung versperrt.
Arbeite nur mit Erlaubnissen. Dann klappt das.
 
  • Like
Reaktionen: *kw*

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.152
Punkte für Reaktionen
741
Punkte
154
Kann es sein, dass du in den Gruppen Rechte auf andere Shares entziehst? Also nach dem Prinzip Buchhaltung ja, Vertrieb nein, EDV nein?

Wenn das so sein sollte, ist das die Ursache. Rechte-Entzug geht immer vor Rechte-Gewährung in Active Directory.

Wie @synfor schreibt, du musst nur zulassen. Wer keine Rechte auf einen Share hat, kann auch nicht zugreifen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: *kw*


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat