Directory Server User ist Mitglied von mehreren Gruppen – Rechtevergabe

[Hruendel]

Hallo,

in einem Kleinbetrieb versuche ich den Directory Server einzurichten. Alles funktioniert bisher hervorragend.

Mit den Gruppenrechten habe ich ein Verständnisproblem. Es existieren mehrere Gruppen (Vertrieb, Buchhaltung, EDV usw.)
Manche User übernehmen Tätigkeit in unterschiedlichen Bereichen. Zum Beispiel gibt es welche die gleichzeitig dem Vertrieb und Buchhaltung angehören, weil sie Kollegen vertreten müssen.

Die Gruppen haben Zugriffsrechte auf unterschiedliche Ordner. Vertrieb auf den Vertrieb, Buchhaltung auf Buchhaltung. Dem Vertrieb muss der Zugriff auf Buchhaltung verwehrt werden. Wenn ein User Gruppenmitglied von Vertrieb und der Buchhaltung ist wird ihm der Zugriff auf Buchhaltung versperrt.

Wenn in einer der Gruppen der Zugriff erteilt ist sollte meiner Logik nach dem User der Zugriff auf den Ordner gewehrt werden. Es ist aber scheinbar umgekehrt - wenn in einer der Gruppen der Zugriff verwehrt ist hat der User kein Zugriff auf den Ordner.

Ist es wirklich so oder übersehe ich da etwas?

 

[*kw*]

Im Prinzip musst du für alle Eventualitäten/Konstellationen eine Gruppe haben, am besten mit keinen Überschneidungen. Dann kannst du dediziert jedem User - auch temporär - die entsprechenden (Vertretungs)Rechte zuordnen.

Rechtevergabe sollte nach dem Prinzip erfolgen: "So wenig wie möglich, so viel wie nötig."

 

[Hruendel]

Kann man die Zuordnung irgendwie umkehren?

Ansonsten kann man Gruppen wie "Nicht Buchhaltung", "Nicht Vertrieb", "Nicht EDV" anlegen und die Nutzer so zuordnen. Das klingt aber irgendwie schräg.

 

[*kw*]

Dann definiere es doch über "Rollen": Buchhaltung, Vertrieb, usw. und weise jedem seine Rechte/Zugriffe zu. Wenn Mitarbeiter A (Buchhaltung) zwei Wochen den Vertrieb mit übernehmen soll, dann bekommt er für diesen Zeitraum das Rollenprofil Vertrieb "on top", danach werden ihm die Rechte wieder entzogen.

Dafür musst du aber erstmal sinnvolle Rollenprofile erstellen. Also, die Gruppen sauber zu definieren, die Zuordnung von Gruppenmitgliedern ist der einfachere Part.

 

[Hruendel]

Im Prinzip musst du für alle Eventualitäten/Konstellationen eine Gruppe haben, am besten mit keinen Überschneidungen.

Warscheinlich ist das die einzige und die richtige Lösung.

 

[*kw*]

Natürlich kann es in den Profilen Überschneidungen geben. Die müssen aber dauerhaft gewollt sein (bspw. eine gemeinsame Share). Ansonten sauber trennen.

 

[Hruendel]

Das ist korrekt. Viele Standards in dieser Welt sind aber nicht korrekt.

Wenn ich zwei Leuten Schlüssel von unterschiedlichen Räumen gebe kommen sie in die Räume rein von denen Sie die Schlüssel haben.

Wenn ich einem Mitarbeiter zwei Rollen zuordne sollte er die Rollen ausführen können. Ansonsten macht Zuordnung eines Nutzers mehreren Gruppen keinen Sinn. Das ist aber in der Software oder in diesem Standard möglich.

 

[maxblank]

Dann erstelle Vertretergruppen, in denen für den Zeitraum die Berechtigungen „überschneidend“ abgedeckt sind.
Aus den anderen Gruppen werden die Mitarbeiter in der Zeit entfernt.

 

[*kw*]

Die Zuordnung während der Vertretung soll auch nur temporär sein. Das ist die Arbeit des "Admin/Service Desk", der gemäß Antrag dem User X für einen bestimmten Zeitraum die Rechte Y zuweist. Saubere Gruppen, saubere Trennung.

 

[synfor]

Die Gruppen haben Zugriffsrechte auf unterschiedliche Ordner. Vertrieb auf den Vertrieb, Buchhaltung auf Buchhaltung. Dem Vertrieb muss der Zugriff auf Buchhaltung verwehrt werden. Wenn ein User Gruppenmitglied von Vertrieb und der Buchhaltung ist wird ihm der Zugriff auf Buchhaltung versperrt.

Arbeite nur mit Erlaubnissen. Dann klappt das.

 

[Adama]

Kann es sein, dass du in den Gruppen Rechte auf andere Shares entziehst? Also nach dem Prinzip Buchhaltung ja, Vertrieb nein, EDV nein?

Wenn das so sein sollte, ist das die Ursache. Rechte-Entzug geht immer vor Rechte-Gewährung in Active Directory.

Wie @synfor schreibt, du musst nur zulassen. Wer keine Rechte auf einen Share hat, kann auch nicht zugreifen.