Toon posts:

[2003] rechten probleem trust

Pagina: 1
Acties:

Verwijderd

Topicstarter
Goedemorgen,

Ik al een tijdje bezig met rechten op gedeelde mappen e.d.

Ik heb te maken met twee domeinen voor het gemak domein A en domein B tussen deze domein ligt een two-way trust.

Ik maak een gedeelde map op domein A. Ik wil dat deze map niet is te bereiken voor iedereen uit domein B. Daarom heb ik de share permissions als volgt gezet Users/(a/Users) op read, en de ntfs permissies ook op Users/(a/Users) ook op read.

Toch blijf ik met het probleem zitten dat deze map gewoon te benaderen blijft voor een user uit domein B.

Zie ik hier iets over het hoofd?

In principe zou de map nu alleen bereikbaar moeten zijn voor users uit domein A. Maar ik kom er nu niet echt meer uit.

Alvast bedankt,

Verwijderd

Topicstarter
blijkbaar wordt de user groep uit domein a gekoppeld aan de user groep uit domein b.

Als ik namelijk alleen 1 gebruiker uit domein A koppel aan een share dan is deze niet meer benaderbaar door andere mensen uit een ander domein (wat logisch is).

Maar wat is nu de koppeling van de user groep uit domein a met die van b :?

  • WaSteiL
  • Registratie: Juli 2003
  • Laatst online: 16-02 08:48
Als eerste is het niet handig om te werken met permissies op zowel share als op NTFS niveau.
Het meest handige is om op share niveau everyone full control te geven en op NTFS niveau je rechten aan te gaan passen. Scheelt op twee plekken zaken bijhouden.

Indien je echt niet wilt dat ze erbij komen kan je altijd nog een Deny geven op de B\users, maar dan moet je eerst zeker weten dat gebruikers uit domein A niet in die groep zitten.

Je kan ook altijd nog even aparte groep maken waarin je zelf alle mensen uit Domain A plaatst. Je weet dan zeker wat de inhoud daarvan is. Betekent wel een extra groep, dat is het nadeel.

  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 02:22
Het meest handige is om op share niveau everyone full control te geven
|:( Everyone is niet de groep die ik zou nemen. Eerder authenictated users, of nog beter domain users. Werkt wel iets veiliger. Full Controll zou ik ze ook nooit geven. Gewoon change rechten en je admin groepen kan je wel full controll geven.
Indien je echt niet wilt dat ze erbij komen kan je altijd nog een Deny geven op de B\users, maar dan moet je eerst zeker weten dat gebruikers uit domein A niet in die groep zitten.
Gebruik nooit een Deny, behalve als het niet anders kan. En dan kan het wel
Je kan ook altijd nog even aparte groep maken waarin je zelf alle mensen uit Domain A plaatst. Je weet dan zeker wat de inhoud daarvan is. Betekent wel een extra groep, dat is het nadeel.
Een extra groep is goed te beheren, omdat dit gemakkelijk te controleren is. Een deny uitvoeren is zeer lastig te troubleshooten in grote omgevingen.

Verwijderd

Topicstarter
ik lees dat veel mensen de share permissies op full control zetten en dan met de ntfs permissies aan de gang gaan.

Ik heb denk ik nu de volgende oplossing

Ik maak een universal group aan in domein B, daar koppel ik een groep mensen aan vanuit netwerk B.

Deze universal group koppel ik vervolgens aan de betreffende map. Dit moet volgens mij werken.

Alleen moet ik even wachten omdat deze wijzigingen pas na een uur worden doorgevoerd op de servers in het andere netwerk.

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-02 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 27 oktober 2006 @ 13:48:
Ik maak een universal group aan in domein B, daar koppel ik een groep mensen aan vanuit netwerk B.

Deze universal group koppel ik vervolgens aan de betreffende map. Dit moet volgens mij werken.
Dit gaat beheerstechnisch gezien een drama worden, verdiep je even in het AGLP principe.

http://www.microsoft.com/...lan/network.mspx?mfr=true
Microsoft has an acronym for user management in Windows NT: AGLP. AGLP stands for domain Accounts go in Global groups, global groups go in Local groups, and local groups are assigned Permissions.
Verwijderd schreef op vrijdag 27 oktober 2006 @ 10:31:
Toch blijf ik met het probleem zitten dat deze map gewoon te benaderen blijft voor een user uit domein B.
Defineer "te benaderen", mag de user echt files openen of is enkel de map zichtbaar voor hem?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Verwijderd

Topicstarter
ik bedoelde dat ik een universal group aanmaak in domein A en daar dan de users van domein B aan wil koppelen.

Ik heb namelijk 1 afdeling nodig die wel toegang mag hebben vanuit domein B naar A om daar netwerkmappen en printers e.d te benaderen. De gebruikers uit B mogen volledige rechten hebben.

Ik denk dat dit de beste manier is om dit op te lossen, ik zie namelijk ook geen andere mogelijkheid.

[ Voor 6% gewijzigd door Verwijderd op 27-10-2006 14:01 ]


  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-02 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Lees het artikel nu eerst even... :|

Dan had je geweten dat de geijkte methode is om een Global Group aan te maken in Domain B, de betreffende users van Domain B plaats je in deze Global Group. Deze Global Group plaats je vervolgens in een aangemaakte Local Group in Domain A. De uiteindelijke permissies om de resource te benaderen geef je aan de Local Group van Domain A.

AGLP
Accounts -> Global Groups -> Local Groups -> Permissies

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Verwijderd

Topicstarter
De global group in domein B waar de betreffende users inzitten bestond al. Deze moet dus in een local group op domein A geplaatst worden.

Maar ik dacht juist dat de universal groups er voor waren om tussen deze domeinen te switchen?

  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 16-02 17:13

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Het grote verschil tussen Universal groups en Global Groups is dat de eerste rechtstreeks members kan bevatten uit elk Domain binnen je Forest. Global Groups kunnen alleen members bevatten uit hetzelfde domain als waar de Global Group is aangemaakt.

Dit heeft als nadeel dat het gebruik van Universal Groups meer impact heeft op authenticatieprocessen. Er moeten immers meerdere domeinen geraadpleegt worden.

MS heeft niet voor niets besloten om de truc "Universal Group Caching" in het leven te roepen om dit te omzeilen. Het is common practice om het gebruik van Universal Groups zoveel mogelijk te beperken...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op vrijdag 27 oktober 2006 @ 13:48:
ik lees dat veel mensen de share permissies op full control zetten en dan met de ntfs permissies aan de gang gaan.
Even een kleine uitleg waarom:
Wat je in feite zegt is "Ik bepaal enkel op NTFS nivo de security, niet dubbelop door ook op shares ACLs te zetten".

Het beheert een stuk duidelijker en eenvoudiger.
Rolfie schreef op vrijdag 27 oktober 2006 @ 13:00:
[...]
Everyone is niet de groep die ik zou nemen. Eerder authenictated users, of nog beter domain users. Werkt wel iets veiliger. Full Controll zou ik ze ook nooit geven. Gewoon change rechten en je admin groepen kan je wel full controll geven.
Je weet dat sinds Windows 2003 Everyone by default niet meer EveryOne Includes Anonymous meer is maar gelijk staat aan Authenticated users?
En dat Authenticated Users al Domain Users zijn?
(controleer dat maar eens zelf in je aduc)

De keuze om Everyone default alleen read/execute te geven op share nivo is misschien niet altijd even logisch (maar wel safe by default), maar dacht je nou echt dat MS's Server Design team hun eigen groepen niet eens zou kunnen onderscheiden?

Kom nou...

[ Voor 50% gewijzigd door alt-92 op 27-10-2006 21:08 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

Pagina: 1