neptun22 Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Hei, Hva er best practice når det gjelder tilganger på delte mapper i et nettverk? full tilgang eller lese\skrivetilgang? Lenke til kommentar
MegaMann2 Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Best practice er at de som har behov for den delte resursser, har de tilgangene de har behov for. Trenger vedkommende å lese innholdet av mappen for å gjøre jobben sin? Hvis ja, lese aksess. Trenger vedkommende å skrive til innholdet av mappen for å gjøre jobben sin? Hvis ja, skrive aksess. Hvis svaret er nei, så skal vedkommende ikke ha tilgangen det spørres om. Lenke til kommentar
Kjetil_hp Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 (endret) Ikke gi 'Full control' på delte mapper til brukere, det holder at de har Modify. Forskjellen er at med Full Control får de tilgang til å endre rettighetene til filer og undermapper som ligger der, det er det kun admins og eventuelt helpdesk som bør ha. Endret 8. mars 2016 av Kjetil_hp Lenke til kommentar
neptun22 Skrevet 8. mars 2016 Forfatter Del Skrevet 8. mars 2016 Okay, Sluttbruker i en avdeling trenger kun Modify\Write\Read til delt avdelingsmappe og Administrator\local admin full tilgang Thats the best practice Lenke til kommentar
Kjetil_hp Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Lag gjerne en gruppe for Read Only tilgang også slik som MegaMann2 nevner, brukere som klarer seg med lesetilgang kan legges inn i den. Dess færre som har skrivetilgang til et område uten å behøve det, dess mindre rot blir det. Lenke til kommentar
Snylter Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Her er det greit å skille mellom share-rettigheter og rettigheter på filsystemnivå. Slik foretrekker jeg å gjøre det: Share-rettighetene setter jeg til full access for everyone. På filsystemnivå (NTFS-rettigheter) setter jeg korrekte rettigheter for hver enkelt sikkerhetsgruppe med korrekt navngiving (aldri enkeltpersoner) Full Control skal som det nevnes over aldri gis til andre enn administratorer, vanlige brukere skal aldri ha mer enn Modify som maksimalt rettighetsnivå. I noen tilfeller vil det også være riktig å kun ha eksempelvis "list content" eller andre spesielle rettigheter. Alt er en vurderingssak, men det viktige er å ha begrensinger på filsystemnivå. Lenke til kommentar
neptun22 Skrevet 8. mars 2016 Forfatter Del Skrevet 8. mars 2016 (endret) Ok, En hvis jeg har for eksempel 5 avdelinger i samme nettverk og alle avdelingene har sine egene delte mapper. Avd 1 skal ikke ha tilgang til avd 5 og motsatt, dette gjelder alle avdelingene, de skal bare ha tilgang til sin egen mappe. Så hvis jeg setter full access for everyone på share rettigheten på avd 5 share og alle ansatte under avd 5 er lagt inn i en gruppe "avd5" med NTFS rettighet read og write. Da vil ikke avd 1 få tilgang til avd 5? Dette gjøres på samtlige avd. Når man snakker om Share rettighet er vel det den tilgangen man setter i det man deler en mappe fra server? Endret 8. mars 2016 av neptun22 Lenke til kommentar
NoTrace Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Nja, tja. Normalt har man jo et fellesområde som man deler. Typ: Common (Full Share Access + NTFS RW til alle (only for this object)) |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1) |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2) |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3) |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4) |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5) Lenke til kommentar
neptun22 Skrevet 8. mars 2016 Forfatter Del Skrevet 8. mars 2016 (endret) Så hvis man har en avd Administrasjon og bare administrasjon skal ha tilgang til denne. Lager en ny mappe på filsrv og deretter gi Administrator gruppen disse NTFS rettighetene Alle avd i denne rekkefølge Fellesområde bare NTFS read Endret 8. mars 2016 av neptun22 Lenke til kommentar
NoTrace Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Men deler du individuelle mapper? Eller ligger alle share på et fellesområde? Blir fort mange drive mappings osv. dersom alle avdelinger osv. skal mappes/shares direkte. Lenke til kommentar
neptun22 Skrevet 8. mars 2016 Forfatter Del Skrevet 8. mars 2016 1 filserver, 5 mapper som skal deles tiltenkt 1 mappe per avdeling pluss 1 mappe som et fellesområdene for alle avdelinger. Avdelingsmappen og fellesmappen mappet opp til brukerne avdelingsvis. Lenke til kommentar
NoTrace Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 (endret) Lage en hovedmappe med alle avdelingsmappene. Del hovedmappen og sett NTFS permissions på resten. Edit: Sett NTFS permissions på hovedmappen til read only. Endret 8. mars 2016 av TheHaughom Lenke til kommentar
neptun22 Skrevet 8. mars 2016 Forfatter Del Skrevet 8. mars 2016 (endret) Så du vil ha gjort det slikt: Dette blir da mappe med for eksempel firmanavn Inne i firma navn mappen blir de 5 avdelingene med en avdelingsgruppe med disse rettighetene. Path vil da bli \\servername\domainname\administrasjon jeg tenkte \\servername\administrasjon Hva er grunnen til at du vil lage en hovedmappe og avdelingene inne i denne? Fungerer det ikke bra med å dele alle avdelingsmappene fra filsrv? Endret 8. mars 2016 av neptun22 Lenke til kommentar
Snylter Skrevet 8. mars 2016 Del Skrevet 8. mars 2016 Det er ryddigere med færre drivemaps, derfor tenker jeg. Altså å mappe opp eksempelvis F:, og at man under F: har nye kataloger. Den på øverste nivå trenger man egentlig ikke annet enn "List folder contents" på, men det er helt ok å ha på read også. Husk at rettighetene du setter på den mappen i øverste nivå IKKE skal arves nedover, så det skal være for "This folder only" Lenke til kommentar
Kjetil_hp Skrevet 9. mars 2016 Del Skrevet 9. mars 2016 (endret) Du bør fjerne Inheritance på hver avdelings undermappe, så unngår du at de arver rettigheter fra toppnivået. Hvis du har mulighet til det vil jeg anbefale å lage et DFS share, det vil gjøre det enklere hvis du skal bytte filserver en gang. Endret 9. mars 2016 av Kjetil_hp Lenke til kommentar
NoTrace Skrevet 9. mars 2016 Del Skrevet 9. mars 2016 Jeg ville også opprettet en gruppe som du legger alle avdelingene i, slik at du ikke gir rettigheter til Everyone. Dersom du gir tilgang til Everyone vil alle som er på samme LAN ha tilgang til filene i Felles-mappen(e), ikke bare ansatte. Lenke til kommentar
neptun22 Skrevet 9. mars 2016 Forfatter Del Skrevet 9. mars 2016 (endret) Ok, Men hvis jeg vil gjøre dette som jeg hadde tenkt. Opprette alle avdelingsmappene på filsrv, legger ikke til Everyone men istedefor legger jeg til sikkerhetsgruppen til avdelingen med read\write. |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1) |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2) |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3) |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4) |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5) mapper opp avdelingmapper mot avdelingsbrukerne. Da vil bare avdelingen få tilgang til mappen? Mulig jeg tenker vanskelig. Men hvi jeg mapper opp hovedmappen med alle avdelingene i må sluttbrukerne inn i en mappe før de ser avdelingen sin eller? Endret 9. mars 2016 av neptun22 Lenke til kommentar
NoTrace Skrevet 9. mars 2016 Del Skrevet 9. mars 2016 Ja, du kan legge til alle avdelingene i stedet på fellesmappen. Og ja, hvis du mapper opp hovedmappen må alle avdelingene inn i sin egen mappe etterpå. Men du slipper mye hassle med masse mappede disker osv. Lenke til kommentar
Kjetil_hp Skrevet 9. mars 2016 Del Skrevet 9. mars 2016 Det er absolutt best practice å lage ett felles share som alle brukerne får mappet opp på en felles bokstav, så har de forskjellige avdelingene sin egen mappe under der igjen med individuelle rettigheter. Brukerne skal sikkert ha fellesmapper som alle har tilgang til også som da ville vært naturlig å legge under det samme toppnivået? Du slipper hassle med massevis av mappede disker som Haughom sier, du slipper masse forvirring blant brukere og det hele blir mye mer ryddig. Jeg har vært innom ganske mange norske og internasjonale selskaper som konsulent etter hvert, jeg har sett kun ett selskap som opererte med masse disk mappings og det var et sabla rot, total kaos. Lenke til kommentar
neptun22 Skrevet 9. mars 2016 Forfatter Del Skrevet 9. mars 2016 Ok, Takk for god respons. Da har jeg fått svar på det jeg trengte tror jeg. Men avdelingene trenger de disse NTFS retighettene? ModifyRead & executeList folder contentsReadWrite Administrator: Full controll Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå