sinnvolle Orderstruktur für Unternehmen?

[digohm]

Hallo zusammen,

ich habe vor etwa 1 Jahr ein DS918+ gekauft und ich bin mit Leistung und Funktionsumfang wirklich sehr zufrieden. Die vier Festplatten sind im Raid 6 verbunden und zusätzlich synchronisiere ich nachts automatisch auf eine DS120 an einem anderen physischen Ort und verschlüsselt in die Cloud. Ich bin kein Profi, aber sehr interessiert und nicht ungeschickt.
Nun ist es glücklicherweise so, dass wir kontinuierlich wachsen womit leider der Administrationsaufwand steigt. Dies liegt aber sicherlich nicht am NAS sondern an unserer Ordnerstruktur mit einem Shared Folder und 12 Unterordner mit weiteren Unterordnern die wie folgt heißen:
1 Geschäftsführung
2 Projekte
3 Finanzen
4 Personalwesen
5 Vertrieb
6 Marketing
7 Bildarchiv
8 Qualitätsmanagement
9 3D-Druck
10 Transfer <-- hier hat jeder Mitarbeiter einen Ordner zum Austausch mit den Kollegen und einen privaten Ordner (z.B. für Lohnzettel, etc)
11 Patent
12 IT

Da nicht jeder Mitarbeiter überall Zugriff haben soll ist die Frage wie man das am sinnvollsten aufbaut? Mehrere Shared Folder, Berechtigungsgruppen,...?
Ich würde mich über euren Input sehr freuen!

LG

 

[Benares]

Ich denke, eine vernünftige Ordnerstruktur für deinen Laden musst du dir schon selbst überlegen. Da kann keiner helfen.
Ich kann nur sagen, dass halt die oberste Ebene die "Gemeinsamen Ordner" sind, wo auch berechtigungstechnisch alles beginnt. Klar kann man auch auf den Unterebenen noch Rechte verwalten, aber das wird deutlich aufwendiger.
Ansonsten solltest du alles über Gruppenberechtigungen/-mitgliedschaften lösen, auch wenn das zunächst etwas aufwendiger klingt. Ein Mischmasch aus Benutzer- und Gruppenberechtigungen schafft nur Verwirrung auf lange Sicht. Daher auch zunächst mal eine RO- und eine RW-Gruppe pro Gemeinsamem Ordner erstellen, egal, wer später darin aufgenommen wird.

 

[the other]

Moinsen,
bevor ich lang drum herum rede...
Im Privatbereich kannste sicherlich so vorgehen, aber im beruflichen Umfeld kannst du dir bei der Aussage "Ich bin kein Profi aber sehr interessiert und nicht ungeschickt" nichts für kaufen, wenn du dann einen kleinen Fehler irgendwo reinbaust und damit ggf. Kundendaten, Datenschutz, Auftragswesen und Finanzdaten gefährdest (nicht vor unbefugtem Zugriff schützt).
Das würde dann eben diese Kunden, Mitarbeiter (hoppla, Lohnzettel für alle sichtbar, uupsie, kleiner Konfigfehler, sorry) und nicht zuletzt ggf. sogar Finanzamt, Zoll und Datenschutzbehörde gegen dich aufbringen.
Daher kurz:
mach für jede Abteilung einen shared folder, leg durchdachte Strukturen an mit User und Gruppenzugehörigkeiten und bedenke dann die Rechtevergabe, so dass es eben passt.

Noch kürzer:
nimm dir einen IT Spezi als Auftraggnehmer, dann kannste denen alle Fehler vorwerfen. In einem (auch noch, zum Glück, wachsendem) Unternehmen würde ich schon dafür sorgen wollen, dass die IT Strukturen, sowohl Netzwerk als auch Zugriffe als auch Dateistruktur, mit einem FACHMANN besprochen werden. Ihr sagt was ihr braucht, der wie und ob es geht und was es kostet. Ansonsten entstehen nur Wildwuchs und früher oder später Unfälle. Ist ja auch ne Frage der Haftung.

Wie gesagt, ich will dich nicht ärgern oder dissen, für den privaten Bereich gerne, aber im Geschäftsumfeld...ui ui ui. Lieber echte Profis...

 

[Benares]

Aber wer/was zu sehen bekommen soll, kann auch ein Profi nicht entscheiden. Der kann das nur möglichst sicher umsetzen...

 

[the other]

Moinsen @Benares ,
deswegen ja auch der Vorschlag, sich ne eigene Struktur zu überlegen und DAS dann mit nem Pro zu besprechen, der wird (wenn er was taugt) schon seinen Erfahrungssenf dazu geben und nicht einfach ne unpraktische / gefährliche Idee verwirklichen.
Und wo dann die kleinen versteckten Fallstricke sind, bleibt bei der Konfig dem überlassen...wenn nicht läuft, anrufen. Geht was kaputt, anrufen. Muss was umgestellt, erweitert werden...genau.

edit: und für die Vorüberlegungen scheint das Unternehmen ja über GF, QM und IT zu verfügen, die sollen eben auch was tun für ihr Geld...(wenn die das schon nicht alleine können im Vollumfang).

Aber du hast definitiv recht: wissen wer, wie, auf was und was nicht muss der Auftraggeber schon wissen...

 

[digohm]

Hallo,
danke für eure Antworten! Ich denke ich habe vielleicht etwas Verwirrung gestiftet. Also wir wissen schon wer auf welche Ordner lesend, schreibend oder garnicht zugreifen darf. Die Frage ist primär wie man am besten die Zugriffsrechte mit den Boardmitteln vom NAS umsetzen kann. Abteilungen gibt es bei uns noch nicht, dafür sind wir noch zu klein. Aktuell haben wir Benutzer- und Gruppenberechtigungen und das wird logischerweise irgendwann unübersichtlich, bzw ist es viel Aufwand.
Der Ansatz mit "eine RO- und eine RW-Gruppe pro Gemeinsamem Ordner erstellen" klingt schon einmal interessant! Führt man diese Strategie nur für die 12 genannten Ordner durch oder auch für deren Unterordner?
Also RO-Projekte, RW-Projekte und dann RO-Projekt1, RW-Projekt1, RO-Projekt2, RW-Projekt2?

 

[NSFH]

1. Regel: Arbeite bei Berechtigungen ausnahmslos mit Gruppen, selbst wenn in einer Gruppe nur eine Person ist!
2. Regel: Halte die Ordnerstruktur möglichst flach, heisst nicht unendlich in die Tiefe verzweigen, weil dann die Rechtevergabe kompliziert wird.

Als nächstes überlegst du dir, wieviele Freigaben sinnvoll sind. Jede Freigabe erhält einen eigenen Laufwerksbuchtstaben und nicht jeder wird alle Laufwerke benötigen. Gib zB der Geschäftsführung ein eigenes Laufwerk, da soll schliesslich niemand sonst zugreifen können.
Bildarchiv wäre auch ein Aspirant für ein eigenes Laufwerk, weil das vermutlich jeder sehen soll.
Du musst also definieren, welche Gruppen auf welche Freigaben Zugriff haben sollen.
Wenn du damit durch bist, hast du schon mal etwas Struktur gewonnen.

Innerhalb der Freigaben kannst du dann bestimmten Gruppen beliebige Ordner zuteilen. Nicht zugeteilte Ordner sind dann für die anderen nicht sichtbar.

 

[Benares]

Also RO-Projekte, RW-Projekte und dann RO-Projekt1, RW-Projekt1, RO-Projekt2, RW-Projekt2?

Ja, hier ist durchaus sinnvoll, auch auf eine Unterberechtigungsstruktur zu gehen, falls dies notwendig ist. Das dürfte evtl. auch in anderen Bereichen sinnvoll sein. Aber nicht zu filigran!
Auch dürfte ein RW-Projekt1-Mitglied zumindest auch RO-Projekte-Rechte brauchen.

 

[Benares]

Jede Freigabe erhält einen eigenen Laufwerksbuchtstaben

Das muss heutzutage wirklich nicht mehr sein Die Berechtigungsstruktur muss das auch bei Zugriff über \\NAS hergeben, sonst hat man wirklich was falsch gemacht ?

 

[blurrrr]

Also wenn man das schon nicht mit der Ordnerstruktur hinbekommt, wie soll die Geschichte dann erst mit dem "Berechtigungskonzept" aussehen? (Jepp, sowas sollte auch da sein, vor allem, wenn man wächst und dann Opfer eines IT-Audits wird ?)

 

[Synchrotron]

Die klassischen Ordnerstrukturen sind von Haus aus schlecht geeignet, um vernünftige Zugriffsstrukturen abzubilden. In einer Organisation hat ein Mitarbeiter üblicherweise verschiedene Rollen, die unterschiedliche Zugriffe bedingen.

Beispiel: Liese Müller ist Personalsachbearbeiterin

• Benötigt Zugriff auf Personalakten (= Höchst schutzwürdige Unterlagen, sehr restriktiver Zugriff)
• Arbeitet mit Führungskräften zusammen, z.B. indem sie Bewerberinformationen austauscht (sie treibt diesen Prozess, andere sind beteiligt)
• Gibt als Fachabteilung ggü. dem Rechnungswesen die Rechnungen von Zeitarbeitsfirmen frei (arbeitet mit, andere treiben den Prozess)
• etc.

Mit einer klassischen Ordnerstruktur und einer klassischen Berechtigungsstruktur wird es schwierig, wenn man sehr fein strukturiert. Dann wird das Netz an Berechtigungen schnell sehr komplex.

Zwei Ansätze (immer bezogen auf eine kleine Organisation):

• Sehr schutzwürdige Inseln (GF, Personal, Finanzen) werden entsprechend restriktiv eingerichtet und nur für wenige User(gruppen) frei gegeben. Ansonsten sieht „jeder“ „alles“, und weiß trotzdem, was von ihm erwartet wird.
• Es werden 2 „Ordnerwelten“ eingerichtet: Die erste ist abteilungsbezogen, die zweite ist prozessbezogen. Jeder Mitarbeiter (User) wird „seiner“ Abteilungsgruppe zugeordnet, plus jeder Prozessgruppe, an der er beteiligt ist.

Frau Müller wäre User LMueller, mit Abteilungszugriff (Gruppe) Personal und Prozesszugriff (Gruppen) Personalverwaltung, Personalmanagement, Rechnungsfreigabe, etc.

Dabei wieder die Prozesse nicht zu fein schneiden, sonst ufert es aus. Projekte kann man wie Prozesse aufsetzen (ausgewählte User werden für Gruppe Projekt X berechtigt), außer das sie nach Projektende wieder dicht gemacht werden. Prozessgruppen „leben“ unbegrenzt lange.

Die Anzahl der Gruppenberechtigungen, die ein User erhält, entspricht der Anzahl an Prozessen, an der er beteiligt ist, plus 1x Abteilung plus 1x allgemeine Unternehmensinformationen.

Das ist das grobe Schema. Entweder selbst umsetzen und dabei Erfahrungen sammeln (= Fehler machen und hoffentlich daraus lernen) oder sich jemanden suchen, der weiß, wie man es umsetzt.

 

[digohm]

Herzlichen Dank an alle die einen produktiven Input beigesteuert haben! Ich werde mich die kommenden Tage um die Umsetzung kümmern und wünsche euch ein frohes Fest!

 

[NSFH]

Das muss heutzutage wirklich nicht mehr sein Die Berechtigungsstruktur muss das auch bei Zugriff über \\NAS hergeben, sonst hat man wirklich was falsch gemacht ?

Ich glaube du hast noch nie eine Produktivumgebung für eine Firma erstellt, sonst würdest sowas befremdliches nicht von dir geben.
In einer Firma arbeiten Leute, die sich für IT nicht interessieren. Denen muss man alles mundgerecht vorsetzen und das geht nun mal nur auf eine bestimmte Art und Weise. Bastelanweisungen für Synolgy Hobbyanwender helfen da nicht.

 

[Benares]

Stimmt. Die Firma, in deren IT ich tätig bin, ist etwas kleiner. Die hat nur 120.000 Mitarbeiter über die ganze Welt verteilt. Bastelanweisungen für Synolgy Hobbyanwender helfen da wirklich nicht weiter ?

 

[blurrrr]

"in deren IT ich tätig bin"... Sorry, aber immer wenn ich sowas höre, hat das (leider) etwas von: Die Putzfrau, die die Mülleimer bei den Admins leert, ist dann auch "in der IT" tätig und allen diese blödsinnige Aussage von wegen "in der IT tätig" (und das hab ich hier schon ein paar mal gesagt) ist genau "garnichts" wert, weil die "IT" im Laufe der Jahrzehnte einfach VÖLLIG explodiert ist. Daher ist die Aussage auch völlig Banane.... Ist halt wie: Der Raketenturm muss die und die Maße haben, sonst klappt das nicht! -> Ach Unsinn, das geht schon, paar Latten, paar Nägel, bin doch selber "Handwerker"! Sorry, aber genau so isset mittlerweile...

Ansonsten wag ich es nochmal ganz dreist und werf mal "DFS" in den Raum, was aber halt nich drin ist, weil halt Samba und kein Windows.

Bleibt doch eh nich soviel....Entweder alles einzeln, alles in eine Freigabe (halt mit abgeschalteter Vererbung auf der obersten Ebene), oder irgendeinen Mischbetrieb (z.B. 1 Netzlaufwerk für Vertrieb+Marketing, oder je nachdem, was gut zusammen passt halt).

Es bleibt aber dabei: Diese Arbeit ist "nicht"(!!!) Teil der "IT". Das ist organisatorisch und sowas obliegt der Geschäftsführung, oder einer anderen bürokratischen, weisungsbefugten Abteilung, welche dafür zuständig ist. Da haben die IT-Leute mal so garnichts mit zu tun, die sind nur das ausführende Organ (in Bezug auf die Ausführung des Berechtigungskonzeptes), also lediglich die Exekutive, denn die IT-Leute haben NICHT zu entscheiden, wer welche Rechte bekommt...

Aber... gut, dass wir mal drüber gesprochen haben - jetzt ist der TO wohl komplett verwirrt ? Aber sei's drum - nix was man den IT-Leuten auflädt, sowas "muss" von "oben" kommen, ganz einfach und das (und das ist der problematischte Teil) ohne irgendwelche blödsinnigen Ideen, wie mitten drin irgendwelche Ordner vor bestimmten Personen verstecken oder dergleichen.

Wünsche viel Erfolg und wo wir schon mal so dabei sind -> https://de.wikipedia.org/wiki/Berechtigungskonzept

Frohes Fest und so! ??