[200x]NTFS/SHARE permissions-mening gevraagd - Serversoftware en clouddiensten

dinsdag 16 juni 2009 23:04

Acties:

Topicstarter

Hallo

Sinds enkel weken sleutel ik aan een meer overzichtelijke & nettere AD.
De vroegere way-of-administration hield een mengeling van individuele userrechten op share en ntfs rechten in, soms nog gecombineerd met hier en daar een deny, kortom: you don't wanna know.

Graag had ik eens gecheckt bij jullie of de manier waarop ik nu de troep van mijn voorganger aan het opruimen ben, de goede is. Alles servers zijn W2K3 en er is slechts 1 domein.

1. Ik zet de share rechten op everyone full control.
2. Ik verfijn met NTFS, meer bepaald ik maak 2 groepen aan vb GG_ABC_RO en GG_ABC_RW. Deze geef ik respectievelijk RO & RW rechten. Hiernaast komen ook nog de groepen domain\administrators & domain\domain admins met ntfs full control.
3. Ik merk op sommige shares ook de CREATOR OWNER & SYSTEM bevatten. Ik verwijder deze door de heritance te breken (copy permissions).

Deze strategie houdt ik aan op de 2 fileservers.
We hebben ongeveer +- 30 shares. Ben ik met bovenvermelde werkwijze goed bezig of doe ik criminele dingen?

dinsdag 16 juni 2009 23:09

Acties:

Vinnie

Als je het AGLP principe wil gaan gebruiken (waar dit sterk op lijkt), dan gooi je users in een globale groepen, en stop je de globale groepen in locale groepen en daarop dus je rechten in instelt.

Zo voorkom je dus altijd gebruikers inmenging, of zo is het idee iig. En idd gebruik maken van full control op shares. Met gebruik van permissies mbv localgroups op NTFS niveau.

[ Voor 5% gewijzigd door Vinnie op 16-06-2009 23:12 ]

C:\>_

dinsdag 16 juni 2009 23:16

Acties:

devuysts

Topicstarter

Wat wil je juist zeggen met "Zo voorkom je dus altijd gebruikers inmenging"?
Dat ze zelf rechten wijzigen?

dinsdag 16 juni 2009 23:27

Acties:

Vinnie

Accounts die dezelfde permissies/rechten moeten krijgen gooi je in een globale groep.
Globale groepen kan je koppelen aan lokale groepen die mensen toegang kunnen geven tot resources (shares,printers,etc).
En met lokale groepen kan je precies instellen (de permissies dus) wat die groep mensen mogen.

Henk zit in GG_GoT. GG_GoT zit weer in LG_Leesrecht en LG_Schrijfrecht.
LG_Leesrecht heeft leesrechten (doh

) en LG_Schrijfrecht schrijfrechten.

Nu wil admin dat GoT alleen maar mag lezen, dus gooit ie mooi even GG_GoT uit LG_Schrijfrecht.

Op deze manier blijven de LG ansich intact, voor andere groepen (GG_Fok?

), en hoef je alleen groepen uit permissies te gooien als deze iets niet meer mogen. Of gebruikers uit global groep pleuren en deze in GG_Banned zetten, om maar iets te noemen.

En maak netjes gebruik van OU's mocht je dingen gaan doen met policies

[ Voor 4% gewijzigd door Vinnie op 16-06-2009 23:28 ]

C:\>_

woensdag 17 juni 2009 00:00

Acties:

elevator

Officieel moto fan :)

Shares full control zou ik niet doen - "Change" is genoeg en zorgt er voor dat users geen individuele file permissies kunnen toekennen.

woensdag 17 juni 2009 07:36

Acties:

alt-92

ye olde farte

Dat kunnen ze sowieso al niet?

Door het weghalen van CREATOR OWNER valt namelijk die optie al weg.

Als je NTFS Modify rechten geeft zie je in de advanced ACL editor ook dat groupmembers geen change permissions hebben.

Afbeeldingslocatie: http://tweakers.net/ext/f/Q33AWb0UU7wD4dS8e3ISUuSp/full.png

Afbeeldingslocatie: http://tweakers.net/ext/f/Q33AWb0UU7wD4dS8e3ISUuSp/full.png

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 17 juni 2009 10:24

Acties:

devuysts

Topicstarter

En wat doen jullie met de SYSTEM en CREATOR OWNER? Doen jullie ze ook weg? Of passen jullie de rechten aan van deze default entries?

woensdag 17 juni 2009 11:52

Acties:

alt-92

ye olde farte

Dat ligt een beetje aan wat je precies wil doen.
In de Windows 2008 Administration Kit staan een aantal voor en nadelen uitgelegd van de CREATOR OWNER special account, en via de MSKB moet je ook wel het één en ander kunnen terugvinden.

(Kort: Creator Owner is by default degene met FC op z'n eigen aangemaakte bestand, dat betekent dat iemand potentieel een ACL op dat bestand kan instellen voor bijvoorbeeld zijn collega's - door deny rechten te zetten kan verder niemand erbij, maar bijvoorbeeld ook geen backup account.
Nadeel van het weghalen van Creator Owner is weer dat auditing mogelijk wat lastiger is - ownership van bestanden wordt dan op een andere manier bepaald, nl door een systeeminstelling in de local GPO settings)

In onze omgeving zit voor datashares in ieder geval geen SYSTEM en Creator Owner meer.

[ Voor 14% gewijzigd door alt-92 op 17-06-2009 11:54 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

woensdag 17 juni 2009 14:40

Acties:

devuysts

Topicstarter

ok, is helder! Bedankt!

woensdag 17 juni 2009 20:32

Acties:

elevator

Officieel moto fan :)

alt-92 schreef op woensdag 17 juni 2009 @ 07:36:
Dat kunnen ze sowieso al niet?
Door het weghalen van CREATOR OWNER valt namelijk die optie al weg.

Niet helemaal - zoals je hieronder al aangeeft heeft de owner van de file altijd fullcontrol op de file, en tenzij je dat expliciet gaat deny'en (wat dan ook weer z'n nadelen heeft), kan je het changen van permissies veel transparenter oplossen (imho) door op share niveau change rechten toe te kennen ipv FC.

donderdag 18 juni 2009 18:51

Acties:

alt-92

ye olde farte

elevator schreef op woensdag 17 juni 2009 @ 20:32:
[...]

Niet helemaal - zoals je hieronder al aangeeft heeft de owner van de file altijd fullcontrol op de file,

Alleen als je Creator Owner laat staan.
Echt waar.
Echt

[ Voor 3% gewijzigd door alt-92 op 18-06-2009 18:57 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

donderdag 18 juni 2009 21:31

Acties:

elevator

Officieel moto fan :)

Wat bedoel je precies met het weghalen van CREATOR OWNER dan? Je bedoelt toch gewoon die 'entiteit' weghalen in het permissions scherm?