Bruker rettighetter på delte mapper

[neptun22]

Hei,

 

Hva er best practice når det gjelder tilganger på delte mapper i et nettverk? full tilgang eller lese\skrivetilgang?

[MegaMann2]

Best practice er at de som har behov for den delte resursser, har de tilgangene de har behov for.

 

Trenger vedkommende å lese innholdet av mappen for å gjøre jobben sin?

Hvis ja, lese aksess.

 

Trenger vedkommende å skrive til innholdet av mappen for å gjøre jobben sin?

Hvis ja, skrive aksess.

 

Hvis svaret er nei, så skal vedkommende ikke ha tilgangen det spørres om.

[Kjetil_hp]

Ikke gi 'Full control' på delte mapper til brukere, det holder at de har Modify. Forskjellen er at med Full Control får de tilgang til å endre rettighetene til filer og undermapper som ligger der, det er det kun admins og eventuelt helpdesk som bør ha.

Endret 8. mars 2016 av Kjetil_hp

[neptun22]

Okay,

Sluttbruker i en avdeling trenger kun Modify\Write\Read til delt avdelingsmappe og Administrator\local admin full tilgang

Thats the best practice

[Kjetil_hp]

Lag gjerne en gruppe for Read Only tilgang også slik som MegaMann2 nevner, brukere som klarer seg med lesetilgang kan legges inn i den. Dess færre som har skrivetilgang til et område uten å behøve det, dess mindre rot blir det.

[Snylter]

Her er det greit å skille mellom share-rettigheter og rettigheter på filsystemnivå.

 

Slik foretrekker jeg å gjøre det:

Share-rettighetene setter jeg til full access for everyone.

På filsystemnivå (NTFS-rettigheter) setter jeg korrekte rettigheter for hver enkelt sikkerhetsgruppe med korrekt navngiving (aldri enkeltpersoner)

Full Control skal som det nevnes over aldri gis til andre enn administratorer, vanlige brukere skal aldri ha mer enn Modify som maksimalt rettighetsnivå.

 

I noen tilfeller vil det også være riktig å kun ha eksempelvis "list content" eller andre spesielle rettigheter.

Alt er en vurderingssak, men det viktige er å ha begrensinger på filsystemnivå.

[neptun22]

Ok,

 

En hvis jeg har for eksempel 5 avdelinger i samme nettverk og alle avdelingene har sine egene delte mapper.

 

Avd 1 skal ikke ha tilgang til avd 5 og motsatt, dette gjelder alle avdelingene, de skal bare ha tilgang til sin egen mappe.

 

Så hvis jeg setter full access for everyone på share rettigheten på avd 5 share og alle ansatte under avd 5 er lagt inn i en gruppe "avd5" med NTFS rettighet read og write.

 

Da vil ikke avd 1 få tilgang til avd 5?

 

Dette gjøres på samtlige avd.

 

Når man snakker om Share rettighet er vel det den tilgangen man setter i det man deler en mappe fra server?

 

Endret 8. mars 2016 av neptun22

[NoTrace]

Nja, tja. Normalt har man jo et fellesområde som man deler.

Typ:

 

Common (Full Share Access + NTFS RW til alle (only for this object))

   |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1)

   |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2)

   |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3)

   |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4)

   |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5)

[neptun22]

Så hvis man har en avd Administrasjon og bare administrasjon skal ha tilgang til denne.

 

Lager en ny mappe på filsrv

 

 

og deretter gi Administrator gruppen disse NTFS rettighetene

 

 

Alle avd i denne rekkefølge

 

Fellesområde bare NTFS read

Endret 8. mars 2016 av neptun22

[NoTrace]

Men deler du individuelle mapper? Eller ligger alle share på et fellesområde?

Blir fort mange drive mappings osv. dersom alle avdelinger osv. skal mappes/shares direkte.

[neptun22]

1 filserver, 5 mapper som skal deles tiltenkt 1 mappe per avdeling pluss 1 mappe som et fellesområdene for alle avdelinger.

 

Avdelingsmappen og fellesmappen mappet opp til brukerne avdelingsvis.

[NoTrace]

Lage en hovedmappe med alle avdelingsmappene. Del hovedmappen og sett NTFS permissions på resten.

 

Edit: Sett NTFS permissions på hovedmappen til read only.

Endret 8. mars 2016 av TheHaughom

[neptun22]

Så du vil ha gjort det slikt:

 

Dette blir da mappe med for eksempel firmanavn

 

 

Inne i firma navn mappen blir de 5 avdelingene med en avdelingsgruppe med disse rettighetene.

 

 

Path vil da bli \\servername\domainname\administrasjon

jeg tenkte \\servername\administrasjon

 

Hva er grunnen til at du vil lage en hovedmappe og avdelingene inne i denne?

Fungerer det ikke bra med å dele alle avdelingsmappene fra filsrv?

Endret 8. mars 2016 av neptun22

[Snylter]

Det er ryddigere med færre drivemaps, derfor tenker jeg.

 

Altså å mappe opp eksempelvis F:, og at man under F: har nye kataloger.

 

Den på øverste nivå trenger man egentlig ikke annet enn "List folder contents" på, men det er helt ok å ha på read også.

Husk at rettighetene du setter på den mappen i øverste nivå IKKE skal arves nedover, så det skal være for "This folder only"

[Kjetil_hp]

Du bør fjerne Inheritance på hver avdelings undermappe, så unngår du at de arver rettigheter fra toppnivået.

 

Hvis du har mulighet til det vil jeg anbefale å lage et DFS share, det vil gjøre det enklere hvis du skal bytte filserver en gang.

Endret 9. mars 2016 av Kjetil_hp

[NoTrace]

Jeg ville også opprettet en gruppe som du legger alle avdelingene i, slik at du ikke gir rettigheter til Everyone.

Dersom du gir tilgang til Everyone vil alle som er på samme LAN ha tilgang til filene i Felles-mappen(e), ikke bare ansatte.

[neptun22]

Ok,

 

Men hvis jeg vil gjøre dette som jeg hadde tenkt.

Opprette alle avdelingsmappene på filsrv, legger ikke til Everyone men istedefor legger jeg til sikkerhetsgruppen til avdelingen med read\write.

 

   |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1)

   |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2)

   |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3)

   |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4)

   |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5)

 

 

mapper opp avdelingmapper mot avdelingsbrukerne.

 

Da vil bare avdelingen få tilgang til mappen?

 

Mulig jeg tenker vanskelig.

 

Men hvi jeg mapper opp hovedmappen med alle avdelingene i må sluttbrukerne inn i en mappe før de ser avdelingen sin eller?

Endret 9. mars 2016 av neptun22

[NoTrace]

Ja, du kan legge til alle avdelingene i stedet på fellesmappen.

 

Og ja, hvis du mapper opp hovedmappen må alle avdelingene inn i sin egen mappe etterpå. Men du slipper mye hassle med masse mappede disker osv.

[Kjetil_hp]

Det er absolutt best practice å lage ett felles share som alle brukerne får mappet opp på en felles bokstav, så har de forskjellige avdelingene sin egen mappe under der igjen med individuelle rettigheter. Brukerne skal sikkert ha fellesmapper som alle har tilgang til også som da ville vært naturlig å legge under det samme toppnivået?

 

Du slipper hassle med massevis av mappede disker som Haughom sier, du slipper masse forvirring blant brukere og det hele blir mye mer ryddig. Jeg har vært innom ganske mange norske og internasjonale selskaper som konsulent etter hvert, jeg har sett kun ett selskap som opererte med masse disk mappings og det var et sabla rot, total kaos. 

[neptun22]

Ok,

Takk for god respons.

 

Da har jeg fått svar på det jeg trengte tror jeg.

 

Men avdelingene trenger de disse NTFS retighettene?

 

Modify
Read & execute
List folder contents
Read
Write

 

Administrator: Full controll