Best Practice Berechtigungskonzept für einfache Freigaben mit Gruppenberechtigungen
Zeichnung/Konzept:
Am Beispiel einer Freigabe „Buchhaltung“
Erklärungen:
Durch dieses Berechtigungskonzept kann ein Benutzer in eine entsprechende Gruppe hinzugefügt werden und erhällt dadurch automatisiert die passenden Berechtigungen auf den Ordner und den Inhalt dessen.
Außerdem bekommt der jeweilige Benutzer die Freigabe durch eine GPO (Gruppenrichtlinie) als Netzlaufwerk gemapt.
1.) Die „SHARE“-Gruppe ist für die Freigabeberechtigungen. Diese bilden also die Berechtigungen ab, sobald über das Netzwerk auf nicht lokale Resourcen zugegriffen wird.
Sobald ein Ordner Freigegeben wird sind hier standardmäßig alle Benutzer berechtigt. Hier empfiehlt es sich diesen Standartwert sofort nach dem Erstellen der Freigabe durch die neue Gruppe zu ersetzen!
Freigabenberechtigungen haben also keinen Einfluss, wenn der Zugriff auf die Dateien oder Ordner über lokale Ressourcen geschieht!
2.) Die „ORDNER“-Gruppe wird in den Sicherheitseinstellungen des freigegebenen Ordners hinzugefügt und ensprechend berechtigt. Dies legt fest welche Benutzer/Gruppen, welche Berechtigungen auf den einzelnen Ordnern und darin liegenden Dateien haben.
Wenn man also über das Netzwerk auf eine Freigabe zugreift werden zuerst die Freigabeberechtigungen geprüft um zu schauen, ob man überhaupt berechtigt ist, auf die Ressource „\XY\“ zuzugreifen. Sobald man dann die „Erlaubnis“ hat, überhaupt auf die Ressource zuzugreifen, gelten die lokalen Berechtigungen (unter „Sicherheitseistellungen“) auf den einzelnen Ordnern und Dateien.
3.) Die Gruppenrichtline ist nur dafür zuständig, die Freigabe einem Benutzer als Netzlaufwerk zu mapen. In der Gruppenrichtlinie selbst muss die „SHARE“-Gruppe unter „Gemeinsame Optionen -> Zielgruppenadressierung“ gewählt werden. Daurch bekommen alle in der Gruppe (in dem Fall Buchhaltung) die jeweilige Freigabe auch das entsprechende Netzlaufwerk angezeigt.
Freigabeberechtigungen:
Sicherheitseinstellungen:
