Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Afdelingsfolder Best Practice

Pagina: 1
Acties:

donderdag 21 augustus 2014 12:46

Acties:
  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14

bregweb

Topicstarter
Onze afdelingsfolders zijn nogal een rommeltje, maar ik mag een nieuwe afdeling opzetten en wil nu wat meer structuur aanbrengen. Server is Windows 2012.
De structuur die ik graag wil

-Hoofdmap/Share op Server
-Afdelingsnaam (DA Full Control, Users Read Execute)
-Afdelingsmappen (DA Full Control, Users Read Execute)
- Nog meer mappen (DA Full Control, Users Full Control)
Ik wil graag tot aan de afdelingsmappen de boel zelf beheren, ze kunnen via mij een extra map aanmaken. Daaronder mogen ze zelf los gaan.

Zijn er zaken die ik over het hoofd zie? Iemand nog tips? Probeer op Internet iets van een best practice te vinden maar kan niet echt de juiste plek vinden.

Hattrick: Thorgal Eagles

donderdag 21 augustus 2014 12:59

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 28-11 16:59

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

bregweb schreef op donderdag 21 augustus 2014 @ 12:46:
Daaronder mogen ze zelf los gaan.
Da's dus een nogo. Straks heb je paden die langer zijn dan het toegestane aantal karakters en struikelt je backup daarover (of iets dergelijks).

Ik zou users overigens sowieso geen full control geven, change is meer dan genoeg. Dat voorkomt dat users zelf rechten kunnen gaan aanpassen van bestanden of folders.

Google verder eens op RBAC (Role Based Access Control). Daarmee deel je rechten uit op basis van functies (ipv op basis van een complete afdeling) en kun je toegang tot data net wat meer fine-tunen.

En gebruik verder meteen het juiste groeptype om toegang tot resources te krijgen, ik zie dat ook nog wel eens fout gebruikt worden. (Wikipedia: AGDLP)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 21 augustus 2014 13:46

Acties:
  • SirDarkAngel
  • Registratie: April 2005
  • Laatst online: 27-11 12:13

SirDarkAngel

De structuur van een afdelings share wordt vaak bij een IT afdeling neer gelegd, terwijl deze vooral een adviserende functie moeten hebben in mijn ogen. Dit betekend niet dat de IT afdeling geen eisen mag neerleggen wat betreft beheersbaarheid (aantal niveau's etc.), maar uiteindelijk moet de business ermee werken en de structuur bepalen.

Wat betreft de structuur valt er weinig over te zeggen, behalve wat Mark al aangeeft, laat gebruikers zelf geen rechten veranderen, ook niet op hogere niveaus, dit is op langer termijn niet te beheren. Change rechten is meer dan voldoende.

(Zijn CIFS shares sowieso nog van deze tijd? Of moet je direct verder kijken als het toch gaat aan pakken)

Wilde altijd al iets over computers weten

donderdag 21 augustus 2014 14:33

Acties:
  • bregweb
  • Registratie: Juni 2005
  • Laatst online: 29-11 17:14

bregweb

Topicstarter
Bedankt voor de link en de tip. Users FC was een copy/paste (lui) error van mijn kant, moet inderdaad change zijn.

Ik probeer de afdeling de structuur te laten bepalen en heb ook keurig 10 mappen opgekregen die zij willen gaan gebruiken. Ik heb die mappen keurig aangemaakt, DA mag alles en een security groep waar ik gebruikers in heb zitten heeft leesrechten op die mappen. Tot zover gaat alles goed.

Hoe draag ik nu die 10 lege mappen over aan de afdeling? Zij moeten genoeg rechten krijgen om de mappen te gaan vullen, maar niet genoeg om met die mappen te rommelen.

Hattrick: Thorgal Eagles

donderdag 21 augustus 2014 15:25

Acties:
  • hans_lenze
  • Registratie: Juli 2003
  • Laatst online: 28-11 15:12

hans_lenze

bregweb schreef op donderdag 21 augustus 2014 @ 14:33:
Hoe draag ik nu die 10 lege mappen over aan de afdeling? Zij moeten genoeg rechten krijgen om de mappen te gaan vullen, maar niet genoeg om met die mappen te rommelen.
Meestal met een nieuwe driveletter in explorer. En een mailtje naar het afdelingshoofd dat ze los kunnen gaan. Wildgroei van mappen is niet te voorkomen, tenzij je een afdelingshoofd verantwoordelijk maakt voor het boeltje en hij/zij het ook strak bijhoudt. Het opruimen en/of netjes houden is in elk geval niet de taak van IT. Dat regelen ze maar lekker zelf met werkinstructies en afspraken onderling.

while (! ( succeed = try ()));

donderdag 21 augustus 2014 20:41

Acties:
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 28-11 07:57

Linke Loe

bregweb schreef op donderdag 21 augustus 2014 @ 14:33:
Een security groep waar ik gebruikers in heb zitten heeft leesrechten op die mappen.
Heb je hier nu maar 1 (global) group aangemaakt en deze groep rechten gegeven? Dan hanteer je dus nog steeds niet het AGDLP principe, zoals al eerder aangehaald werd. Dit principe gas namelijk uit van een global group waar je de gebruikers in plaatsten een domain local group waar je rechten aan toekent op he filesystem. Vervolgens maak je de global groups lid van de domain local groups om ervoor te zorgen dat de gebruikers de juiste rechten krijgen.

vrijdag 22 augustus 2014 06:54

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

Overweeg ook om Access Based Enumeration aan te zetten. Gebruikers kunnen dan alleen mappen zien waar ze rechten op hebben. Mappen waar ze geen toegang toe hebben worden niet getoond. Is wel handig als ze maar in bijvoorbeeld vijf mappen mogen terwijl er in totaal vijftien zouden staan op hun scherm anders.

vrijdag 22 augustus 2014 09:31

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Laatst online: 28-11 13:26

Killah_Priest

CMD-Snake schreef op vrijdag 22 augustus 2014 @ 06:54:
Overweeg ook om Access Based Enumeration aan te zetten. Gebruikers kunnen dan alleen mappen zien waar ze rechten op hebben. Mappen waar ze geen toegang toe hebben worden niet getoond. Is wel handig als ze maar in bijvoorbeeld vijf mappen mogen terwijl er in totaal vijftien zouden staan op hun scherm anders.
ABE voorkomt ook onzinnige verzoeken van gebruikers voor toegang tot een folder, als men immers niet weet dat een folder bestaat dan vraagt men ook geen toegang (binnen het mkb kom ik helaas vaak genoeg mensen tegen die perse toegang willen hebben tot een bepaalde folder omdat zij "speciaal" zijn en meer rechten willen hebben als hun collega's).

Mijn voorkeur voor het inrichten van shares is dfs icm ABE, 1 driveletter mappen aan namespace met alle shares en men ziet vervolgens alleen de shares waar zij toegang toe hebben.

vrijdag 22 augustus 2014 12:19

Acties:
  • Linke Loe
  • Registratie: Augustus 1999
  • Laatst online: 28-11 07:57

Linke Loe

Ik zou raad ook aan om DFS in te richten. Dit maakt het mogelijk om al je shares aan te bieden onder 1 namespace. Misschien klinkt het een beetje overbodig als je maar 1 fileserver hebt, maar het maakt een latere migratie naar een nieuwe fileserver wel een stuk eenvoudiger. Je kan dan lekker de boel laten repliceren terwijl je shares toegankelijk blijven onder dezelfde naam.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq