w2008R2 - Wel bestanden kunne verwijderen, maar geen mappen

Mappenstructuur:

\_ Eerste map
* Alleen lees rechten voor de gebruikers)
* Apply onto:Subfolders and files only
\_ Tweede map
* Disable inheritance en geef hier de gebruiker lees en schrijf rechten
* Apply onto: Subfolders and files only
\_ Derde, vierde enz kan de gebruiker zelf bepalen.

Wanneer je dit applyed even in het onderliggen scherm aanvinken dat alle onderliggende permissions ook aangepast moeten worden.

Door in de eerste map te zeggen dat de gebruiker niets mag met bestanden of mappen behalve lezen kan de gebruiker de opvolgende (tweede) map dus niets mee.
Voorbeeld scherm:


Wanneer je op de opvolgende (tweede) map dan insteld dat vanaf hier wel geschreven en gelezen mag worden kan de gebruiker hierin mappen, bestanden enz mee doen en laten wat deze wil. Hierbij schakel je dan voor deze map de inheritance van de onderliggen map uit waardoor je op deze map andere permissies kunt instellen dan de bovenliggende map.
Voorbeeld scherm:


Let wel dat je nooit een gebruiker "Full permission" geeft. Dus dat rechten enz aangepast mogen worden.
Verder is mijn advies om de administratorsgroep hier wel volle rechten te geven. Hierbij vanuit gaand dat administor account(s) enkel worden gebruikt wanneer dit nodig is en er geen IT'er is die onderdeel is van deze groep en op dit account inlogd als werkplek.

Meer info: http://technet.microsoft.com/en-us/library/cc770962.aspx

PeeCee schreef op woensdag 29 mei 2013 @ 23:02:
Mappenstructuur:

\_ Eerste map
* Alleen lees rechten voor de gebruikers)
* Apply onto:Subfolders and files only
\_ Tweede map
* Disable inheritance en geef hier de gebruiker lees en schrijf rechten

Yikes, het bold gedeelte "nooit" doen, altijd groepen aanmaken in een organisatie. En dan gebruikers in groepen plaatsen (desnoods maak je groep per gebruiker aan mocht de organisatie heel erg klein zijn).

Want Sabina vertrekt en Klazien neemt haar functie over en dan heb je een heerlijke uitzoekklus om te achterhalen waar Sabina rechten had en waar Klazien nu rechten moet gaan krijgen. In vakantie periode neemt Klaas de functie van Klazien even over, dus die moet tijdelijk ook even dezelfde rechten als Klazien krijgen.

Met groepen / Role Based Permissions is dit allemaal zo geregeld, met gebruikersrechten is dit een drama.

Gomez12 schreef op donderdag 30 mei 2013 @ 00:11:
[...]

Yikes, het bold gedeelte "nooit" doen, altijd groepen aanmaken in een organisatie. En dan gebruikers in groepen plaatsen (desnoods maak je groep per gebruiker aan mocht de organisatie heel erg klein zijn).

Want Sabina vertrekt en Klazien neemt haar functie over en dan heb je een heerlijke uitzoekklus om te achterhalen waar Sabina rechten had en waar Klazien nu rechten moet gaan krijgen. In vakantie periode neemt Klaas de functie van Klazien even over, dus die moet tijdelijk ook even dezelfde rechten als Klazien krijgen.

Met groepen / Role Based Permissions is dit allemaal zo geregeld, met gebruikersrechten is dit een drama.

Kan niet anders zeggen dat ik het hier helemaal mee eens ben. Het was wat laat.

Huidig gebruiken wij de opbouw dat we voor elke "map" toegang hebben als Disk groep en de afdeling (bijv verkoop) lid maken van de de Disk groepen waar de gebruikers van de afdeling bij moeten kunnen.

Dus bijv mappen: (Naam map - toegangsgroep)
Administratie - Disk Group administratie
Verkoop - Disk Group verkoop
Magazijn -Disk Group magazijn

Afdelingen: (Naam afdeling - toegangsgroep)
Administratie - Afdeling administratie
Verkoop - Afdeling verkoop
Magazijn - Afdeling magazijn

Stel dat je dan de afdeling Verkoop toegang wil geven om te kunnen verkopen en administratief werk te kunnen doen maak je de groep "Afdeling verkoop" lid van "Disk Group verkoop" en "Disk Group administratie". Dit om vervolgens de gebruikers lid te maken van de groep "Afdeling verkoop".

Als advies, mocht je nu ooit krijgen dat er een tweede bedrijf op het systeem bij komt adviseer ik om voor elke groep de bedrijfsinitialen te zetten.
Bijv: Bedrijf heeft Stikkenmans Broeken Handel (SBH)
Dan begint elke groep voor dit bedrijf met SBH, dus "SBH Afdeling verkoop" of "SBH Disk Group verkoop".

Verder zou ik willen adviseren om alles goed in OU's onder te brengen waar je vervolgens ook eenvoudig GPO's aan kunt hangen. Dus een apart OU voor alle Disk groepen, apart OU voor alle de groepen van alle afdelingen, aparte OU voor gebruikers enz enz.
Ook zou ik de afdeling ICT apart onderbrengen en hier ook een juiste structuur in maken zodat je eenvoudig ook nieuwe collega's kunt toevoegen zonder deze alle toegang te geven.

Maar misschien is dit allemaal wat overdreven en kunnen alle mensen ook weer een andere visie hebben hierop. En als je een heel klein bedrijf heb kan het allemaal wat overdreven zijn.

Wel zou ik in ieder geval gebruik maken van groepen voor toegang te verlenen zoals Gomez ons hier aan hielp herinneren

PeeCee schreef op vrijdag 31 mei 2013 @ 15:18:
[...]
Verder zou ik willen adviseren om alles goed in OU's onder te brengen waar je vervolgens ook eenvoudig GPO's aan kunt hangen. Dus een apart OU voor alle Disk groepen, apart OU voor alle de groepen van alle afdelingen, aparte OU voor gebruikers enz enz.

GPO's worden toegepast op basis van lokatie van userobjecten of computerobjecten (indien loopback processing enabled is). GPO's plaatsen op OU's waar enkel resource groups in zitten heeft geen zin.

Verder wel eens met het feit dat een heldere verdeling eigenlijk een must is. De exacte inrichting is vaak bedrijfsspecifiek...

My two cents:

Volgens mij met verwijder je alleen de bestanden

Of dit

[ Voor 202% gewijzigd door Turdie op 31-05-2013 21:00 ]