Hoe werkt bij jullie het beleid omtrent rechten op de mappen

Vaak is het zo dat een leidinggevende een autorisatieverzoek mag indienen. Per organisatie is dat verschillend. Ik ken ook organisaties dat een leidinggevende het niet mag aanvragen, maar dat er een bepaald persoon wordt aangesteld om al die aanvragen te verzamelen, te bekijken en dan laat doorzetten naar de IT afdeling.

Laat nooit users met FS rechtenstructuren knoeien !
IT is voor IT'ers.

Hou het highlevel voor hen. Maak een procedurebeschrijving zodat ze aanpassingen kunnen aanvragen.
Eventueel met bijhorend document voor hen zodat alles netjes geregeld is en er nooit discussie is.

Maar laat ze nooit zelf zo'n dingen aanpassen. Dat is het begin van het einde ...

Ben ik helemaal mee eens... Als ze zelf dingen gaan aanpassen (terwijl ze er geen verstand van hebben, ook al denken ze zelf meestal van wel) is inderdaad het begin van het eind

Hier op werk (geheim) wordt alles centraal geregeld... Wil je ergens in kunnen of een programma aanspreken, dan moet je dat via standaard proceduren aanvragen en wachten tot je toegang krijgt.. Veel makkelijker en overzichtelijker ook nog eens (als je het tenminste goed doet)

DutchPlayer schreef op dinsdag 05 oktober 2010 @ 09:24:
Meeste voorkomende beleid wat ik tot nu toe ben tegen gekomen, is dat de aanvraag voor rechten op bepaalde mappen via de afdelings manager doorgespeeld worden naar de afdeling IT. En met de goedkeuring van de afdelings manager kan het verzoek verwerkt worden.

Dat dus. Eigenlijk is dat de enige echte manier.

Het is een beetje afhankelijk van de grootte van de organisatie, maar ik ben het eens met wat hierboven gezegd wordt. Bij kleinere bedrijven, waar niet echt een duidelijke hiërarchische structuur is, kun je de aanvragen direct naar IT laten gaan (dat zal vaak ook al zo gebeuren). Die kan dan, eventueel in overleg met de bedrijfsleiding, beslissen of het doorgevoerd wordt. Bij grotere bedrijven maak je gewoon gebruik van de al aanwezige hiërarchie en laat je de aanvragen via afdelingshoofden lopen. Anders word je horendol van alle aanvragen en er is tevens meteen een controlemechanisme ingebouwd.

Daadwerkelijke uitvoering van deze verzoeken ALTIJD door IT-personeel laten uitvoeren!

Kan je het niet automatiseren? Dat een aanvraag binnenkomt via een tool en dat vervolgens de user toegang krijgt na autorisatie van zowel IT als manager?

Eventueel zou je nog groepen kunnen instellen die rechten hebben op folders waar afdelingsmanagers zelf delegated rechten op hebben om mensen toe te voegen of eruit te halen.

Je kan per groep in AD namelijk een manager instellen, eventueel zelfs nog een speciale management groep.

Maar laat ze NOOIT zelf aan het FS zitten rommelen want dat word een puinhoop.

djluc schreef op dinsdag 05 oktober 2010 @ 11:24:
Kan je het niet automatiseren? Dat een aanvraag binnenkomt via een tool en dat vervolgens de user toegang krijgt na autorisatie van zowel IT als manager?

Is erg riskant, ik herinner me nog een klant waar een paranoide manager zat die op een gegeven moment iedereen behalve zijn team deny-rechten toekende ( dus ook de backup-gebruiker ).
Met enkel 1x verkeerd lezen door IT-medewerker kan dat dus

Dat valt wel weer te ondervangen door weer verder te gaan automatiseren, maar hoever wil je dan doorgaan?
Automatiseren om het automatiseren wordt over het algemeen niet al te erg gewaardeerd.

Waar ik nu zit hebben we een aantal kleine bedrijven onder ons beheer, en meestal is er 1 of 2 contact personen die de rechten aanvragen.
We delen de rechten ook allen op eerste laag uit (dus D:\Map en niet D:\map\nog een map\enz.. ).
Een heel enkele dat wij naar een 2 laag gaan, maar dan staat dat ook als commentaar in de AD er bij en elke map heeft 2 groepen, een lees en een lees en schrijf, nooit gebruikers die lid zijn van de rechten van de map, maar altijd via de groep.

Het bovenstaande klinkt voor mij allemaal wat paranoide. Er zijn volop manieren om gebruikers zelf rechten te laten beheren zonder dat het een janboel wordt.

Als je het simpel wilt houden zonder iets te scripten: Maak zelf, op verzoek, de mappen aan en de groepen met lees- en schrijfrechten die op die mappen worden gezet. Zet die groepen in een aparte OU en delegeer de rechten erop aan een groep waar alleen de managers in staan. Installeer de admintools op de PC's van die managers en ze kunnen vervolgens alleen maar het lidmaatschap van die speciale groepen beheren. Simpel en de managers kunnen niks stuk maken.

Met wat handig programmeren kun je het allemaal nog verder automatiseren en dat zonder dat die managers extra rechten nodig hebben. Ik heb wel in bedrijven gewerkt waar dat heel goed werkte.