Hallo,
ich bin neu hier und habe mich für mein Problem schon nach einer Lösung hier umgesehen. Deswegen nun doch ein eigenes Thema:
Ich bin dabei, mit einer neuen RS2211RP+ mit DSM3.2-1955 in einem Firmenumfeld mit W2K3-AD einen alten W2k3-File-Server Stück für Stück abzulösen.
Ist-Stand:
- die DS ist AD-Member, alle User und Gruppen sind in der DS auswählbar
- die Home-Laufwerke aller User arbeiten bereits erfolgreich ( \\fs1\home)
- nfs läuft ebenfalls hervorragend
- unkomplizierte Freigaben ( nur durch EINE Domänen-Gruppe schreibend benutzt) gebe ich unter Systemsteuerung -> gemeinsameOrdner frei und unter Privilegieneinstellung sage ich, welche Gruppe Zugriff hat, das funktioniert auch
Fragen, bei denen ich hoffe, das ich etwas verkehrt mache oder es wenigstens einen Trick gibt:
Die eingestellten ACLs mit Hilfe des Explorers, (unter Datei-> Eigenschaften -> Berechtigungen) bekriegen sich mit den Einstellungen, die man in der DS mit Hilfe des Datei-Browser machen muß. Schade das man offenbar mit AD-Bordmitteln oder z.b Hyena die DS-Freigaben nicht mehr wie bei einem Windows-Fileserver einrichten kann!
In diesem Datei-Browser der DS (rechte Maustaste -> Einstellungen auf dem entsprechenden Ordner) kann man nur Berechtigungen für EINE Gruppe einstellen. Nun ist es aber in AD-Umgebungen nichts Ungewöhnliches, das ein Nutzer die Mitgliedschaft mehrerer Gruppen hat und das man vorallem auf einem bestimmten Ordner für eine Gruppe Schreibrechte und manchmal für eine andere Gruppe nur Leserechte vergibt, der Rest aber keinen Zugriff haben soll.
Was mir aber aufgefallen und momentan sehr im Weg ist, das selbst die Mitgliedschaft in der mit dem Datei-Brower eingetragen Gruppe nur dann für Zugriff sorgt, wenn diese Gruppe in der AD die "Default-Group" des betreffenden Nutzers ist. Die reine Mitgliedschaft in der AD-Gruppe reicht nicht mehr aus!!! Das wäre aber AD-Standard!!!!
Beispiel: Im Datei-Browser der DS gibt es eine Freigabe "Daten" mit einem Unterordner vertrieb und es wird die AD-Gruppe Vertrieb für den Ordner Vertrieb ausgewählt. Bei den Priviegien sind die 3 Kreuze RWX bei User und bei Gruppe angehakt. Die Nutzer mueller und meier sind beide Mitglieder der AD-Gruppen Vertrieb und Marketing. Bei meier steht in der AD die Gruppe vertrieb als Default-Group, bei mueller die Gruppe Marketing. Bei sonst identischer Einrichtung beider Nutzer kann meier den Ordner nutzen, mueller nicht! Setzt man bei "Sonstige" die 3 Haken bekommt mueller und meier Zugriff. Schulze und Lehmann, die auf der Freigabe "Daten" nur den Ordner "Werkstatt" haben sollen haben jetzt aber ebenfalls Zugriff auf Vertrieb!!
was nun...?
mfg
its-me
ich bin neu hier und habe mich für mein Problem schon nach einer Lösung hier umgesehen. Deswegen nun doch ein eigenes Thema:
Ich bin dabei, mit einer neuen RS2211RP+ mit DSM3.2-1955 in einem Firmenumfeld mit W2K3-AD einen alten W2k3-File-Server Stück für Stück abzulösen.
Ist-Stand:
- die DS ist AD-Member, alle User und Gruppen sind in der DS auswählbar
- die Home-Laufwerke aller User arbeiten bereits erfolgreich ( \\fs1\home)
- nfs läuft ebenfalls hervorragend
- unkomplizierte Freigaben ( nur durch EINE Domänen-Gruppe schreibend benutzt) gebe ich unter Systemsteuerung -> gemeinsameOrdner frei und unter Privilegieneinstellung sage ich, welche Gruppe Zugriff hat, das funktioniert auch
Fragen, bei denen ich hoffe, das ich etwas verkehrt mache oder es wenigstens einen Trick gibt:
Die eingestellten ACLs mit Hilfe des Explorers, (unter Datei-> Eigenschaften -> Berechtigungen) bekriegen sich mit den Einstellungen, die man in der DS mit Hilfe des Datei-Browser machen muß. Schade das man offenbar mit AD-Bordmitteln oder z.b Hyena die DS-Freigaben nicht mehr wie bei einem Windows-Fileserver einrichten kann!
In diesem Datei-Browser der DS (rechte Maustaste -> Einstellungen auf dem entsprechenden Ordner) kann man nur Berechtigungen für EINE Gruppe einstellen. Nun ist es aber in AD-Umgebungen nichts Ungewöhnliches, das ein Nutzer die Mitgliedschaft mehrerer Gruppen hat und das man vorallem auf einem bestimmten Ordner für eine Gruppe Schreibrechte und manchmal für eine andere Gruppe nur Leserechte vergibt, der Rest aber keinen Zugriff haben soll.
Was mir aber aufgefallen und momentan sehr im Weg ist, das selbst die Mitgliedschaft in der mit dem Datei-Brower eingetragen Gruppe nur dann für Zugriff sorgt, wenn diese Gruppe in der AD die "Default-Group" des betreffenden Nutzers ist. Die reine Mitgliedschaft in der AD-Gruppe reicht nicht mehr aus!!! Das wäre aber AD-Standard!!!!
Beispiel: Im Datei-Browser der DS gibt es eine Freigabe "Daten" mit einem Unterordner vertrieb und es wird die AD-Gruppe Vertrieb für den Ordner Vertrieb ausgewählt. Bei den Priviegien sind die 3 Kreuze RWX bei User und bei Gruppe angehakt. Die Nutzer mueller und meier sind beide Mitglieder der AD-Gruppen Vertrieb und Marketing. Bei meier steht in der AD die Gruppe vertrieb als Default-Group, bei mueller die Gruppe Marketing. Bei sonst identischer Einrichtung beider Nutzer kann meier den Ordner nutzen, mueller nicht! Setzt man bei "Sonstige" die 3 Haken bekommt mueller und meier Zugriff. Schulze und Lehmann, die auf der Freigabe "Daten" nur den Ordner "Werkstatt" haben sollen haben jetzt aber ebenfalls Zugriff auf Vertrieb!!
was nun...?
mfg
its-me
