[2003] rechten probleem trust

Als eerste is het niet handig om te werken met permissies op zowel share als op NTFS niveau.
Het meest handige is om op share niveau everyone full control te geven en op NTFS niveau je rechten aan te gaan passen. Scheelt op twee plekken zaken bijhouden.

Indien je echt niet wilt dat ze erbij komen kan je altijd nog een Deny geven op de B\users, maar dan moet je eerst zeker weten dat gebruikers uit domein A niet in die groep zitten.

Je kan ook altijd nog even aparte groep maken waarin je zelf alle mensen uit Domain A plaatst. Je weet dan zeker wat de inhoud daarvan is. Betekent wel een extra groep, dat is het nadeel.

Het meest handige is om op share niveau everyone full control te geven

Everyone is niet de groep die ik zou nemen. Eerder authenictated users, of nog beter domain users. Werkt wel iets veiliger. Full Controll zou ik ze ook nooit geven. Gewoon change rechten en je admin groepen kan je wel full controll geven.

Indien je echt niet wilt dat ze erbij komen kan je altijd nog een Deny geven op de B\users, maar dan moet je eerst zeker weten dat gebruikers uit domein A niet in die groep zitten.

Gebruik nooit een Deny, behalve als het niet anders kan. En dan kan het wel

Je kan ook altijd nog even aparte groep maken waarin je zelf alle mensen uit Domain A plaatst. Je weet dan zeker wat de inhoud daarvan is. Betekent wel een extra groep, dat is het nadeel.

Een extra groep is goed te beheren, omdat dit gemakkelijk te controleren is. Een deny uitvoeren is zeer lastig te troubleshooten in grote omgevingen.

Verwijderd schreef op vrijdag 27 oktober 2006 @ 13:48:
Ik maak een universal group aan in domein B, daar koppel ik een groep mensen aan vanuit netwerk B.

Deze universal group koppel ik vervolgens aan de betreffende map. Dit moet volgens mij werken.

Dit gaat beheerstechnisch gezien een drama worden, verdiep je even in het AGLP principe.

http://www.microsoft.com/...lan/network.mspx?mfr=true

Microsoft has an acronym for user management in Windows NT: AGLP. AGLP stands for domain Accounts go in Global groups, global groups go in Local groups, and local groups are assigned Permissions.

Verwijderd schreef op vrijdag 27 oktober 2006 @ 10:31:
Toch blijf ik met het probleem zitten dat deze map gewoon te benaderen blijft voor een user uit domein B.

Defineer "te benaderen", mag de user echt files openen of is enkel de map zichtbaar voor hem?

Lees het artikel nu eerst even...

Dan had je geweten dat de geijkte methode is om een Global Group aan te maken in Domain B, de betreffende users van Domain B plaats je in deze Global Group. Deze Global Group plaats je vervolgens in een aangemaakte Local Group in Domain A. De uiteindelijke permissies om de resource te benaderen geef je aan de Local Group van Domain A.

AGLP
Accounts -> Global Groups -> Local Groups -> Permissies

Het grote verschil tussen Universal groups en Global Groups is dat de eerste rechtstreeks members kan bevatten uit elk Domain binnen je Forest. Global Groups kunnen alleen members bevatten uit hetzelfde domain als waar de Global Group is aangemaakt.

Dit heeft als nadeel dat het gebruik van Universal Groups meer impact heeft op authenticatieprocessen. Er moeten immers meerdere domeinen geraadpleegt worden.

MS heeft niet voor niets besloten om de truc "Universal Group Caching" in het leven te roepen om dit te omzeilen. Het is common practice om het gebruik van Universal Groups zoveel mogelijk te beperken...

Verwijderd schreef op vrijdag 27 oktober 2006 @ 13:48:
ik lees dat veel mensen de share permissies op full control zetten en dan met de ntfs permissies aan de gang gaan.

Even een kleine uitleg waarom:
Wat je in feite zegt is "Ik bepaal enkel op NTFS nivo de security, niet dubbelop door ook op shares ACLs te zetten".

Het beheert een stuk duidelijker en eenvoudiger.

Rolfie schreef op vrijdag 27 oktober 2006 @ 13:00:
[...]
Everyone is niet de groep die ik zou nemen. Eerder authenictated users, of nog beter domain users. Werkt wel iets veiliger. Full Controll zou ik ze ook nooit geven. Gewoon change rechten en je admin groepen kan je wel full controll geven.

Je weet dat sinds Windows 2003 Everyone by default niet meer EveryOne Includes Anonymous meer is maar gelijk staat aan Authenticated users?
En dat Authenticated Users al Domain Users zijn?
_{(controleer dat maar eens zelf in je aduc)}

De keuze om Everyone default alleen read/execute te geven op share nivo is misschien niet altijd even logisch (maar wel safe by default), maar dacht je nou echt dat MS's Server Design team hun eigen groepen niet eens zou kunnen onderscheiden?

Kom nou...

[ Voor 50% gewijzigd door alt-92 op 27-10-2006 21:08 ]