Gå til innhold

Bruker rettighetter på delte mapper


Anbefalte innlegg

Videoannonse
Annonse

Best practice er at de som har behov for den delte resursser, har de tilgangene de har behov for.

 

Trenger vedkommende å lese innholdet av mappen for å gjøre jobben sin?

Hvis ja, lese aksess.

 

Trenger vedkommende å skrive til innholdet av mappen for å gjøre jobben sin?

Hvis ja, skrive aksess.

 

Hvis svaret er nei, så skal vedkommende ikke ha tilgangen det spørres om.

Lenke til kommentar

Ikke gi 'Full control' på delte mapper til brukere, det holder at de har Modify. Forskjellen er at med Full Control får de tilgang til å endre rettighetene til filer og undermapper som ligger der, det er det kun admins og eventuelt helpdesk som bør ha.

Endret av Kjetil_hp
Lenke til kommentar

Her er det greit å skille mellom share-rettigheter og rettigheter på filsystemnivå.

 

Slik foretrekker jeg å gjøre det:

Share-rettighetene setter jeg til full access for everyone.

På filsystemnivå (NTFS-rettigheter) setter jeg korrekte rettigheter for hver enkelt sikkerhetsgruppe med korrekt navngiving (aldri enkeltpersoner)

Full Control skal som det nevnes over aldri gis til andre enn administratorer, vanlige brukere skal aldri ha mer enn Modify som maksimalt rettighetsnivå.

 

I noen tilfeller vil det også være riktig å kun ha eksempelvis "list content" eller andre spesielle rettigheter.

Alt er en vurderingssak, men det viktige er å ha begrensinger på filsystemnivå.

Lenke til kommentar

Ok,

 

En hvis jeg har for eksempel 5 avdelinger i samme nettverk og alle avdelingene har sine egene delte mapper.

 

Avd 1 skal ikke ha tilgang til avd 5 og motsatt, dette gjelder alle avdelingene, de skal bare ha tilgang til sin egen mappe.

 

Så hvis jeg setter full access for everyone på share rettigheten på avd 5 share og alle ansatte under avd 5 er lagt inn i en gruppe "avd5" med NTFS rettighet read og write.

 

Da vil ikke avd 1 få tilgang til avd 5?

 

Dette gjøres på samtlige avd.

 

Når man snakker om Share rettighet er vel det den tilgangen man setter i det man deler en mappe fra server?

 

Endret av neptun22
Lenke til kommentar

Nja, tja. Normalt har man jo et fellesområde som man deler.

Typ:

 

Common (Full Share Access + NTFS RW til alle (only for this object))

   |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1)

   |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2)

   |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3)

   |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4)

   |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5)

Lenke til kommentar

Så hvis man har en avd Administrasjon og bare administrasjon skal ha tilgang til denne.

 

Lager en ny mappe på filsrv

 

b28wTTRQ.jpeg

 

og deretter gi Administrator gruppen disse NTFS rettighetene

 

eHUyeE56.jpeg

 

Alle avd i denne rekkefølge

 

Fellesområde bare NTFS read

Endret av neptun22
Lenke til kommentar

Så du vil ha gjort det slikt:

 

Dette blir da mappe med for eksempel firmanavn

 

akdmQThT.jpeg

 

Inne i firma navn mappen blir de 5 avdelingene med en avdelingsgruppe med disse rettighetene.

 

WTVzYmgw.jpeg

 

Path vil da bli \\servername\domainname\administrasjon

jeg tenkte \\servername\administrasjon

 

Hva er grunnen til at du vil lage en hovedmappe og avdelingene inne i denne?

Fungerer det ikke bra med å dele alle avdelingsmappene fra filsrv?

Endret av neptun22
Lenke til kommentar

Det er ryddigere med færre drivemaps, derfor tenker jeg.

 

Altså å mappe opp eksempelvis F:, og at man under F: har nye kataloger.

 

Den på øverste nivå trenger man egentlig ikke annet enn "List folder contents" på, men det er helt ok å ha på read også.

Husk at rettighetene du setter på den mappen i øverste nivå IKKE skal arves nedover, så det skal være for "This folder only"

Lenke til kommentar

Du bør fjerne Inheritance på hver avdelings undermappe, så unngår du at de arver rettigheter fra toppnivået.

 

Hvis du har mulighet til det vil jeg anbefale å lage et DFS share, det vil gjøre det enklere hvis du skal bytte filserver en gang.

Endret av Kjetil_hp
Lenke til kommentar

Jeg ville også opprettet en gruppe som du legger alle avdelingene i, slik at du ikke gir rettigheter til Everyone.

Dersom du gir tilgang til Everyone vil alle som er på samme LAN ha tilgang til filene i Felles-mappen(e), ikke bare ansatte.

Lenke til kommentar

Ok,

 

Men hvis jeg vil gjøre dette som jeg hadde tenkt.

Opprette alle avdelingsmappene på filsrv, legger ikke til Everyone men istedefor legger jeg til sikkerhetsgruppen til avdelingen med read\write.

 

   |-> Avdeling 1 (NTFS RW rettigheter til Gruppe_Avdeling1)

   |-> Avdeling 2 (NTFS RW rettigheter til Gruppe_Avdeling2)

   |-> Avdeling 3 (NTFS RW rettigheter til Gruppe_Avdeling3)

   |-> Avdeling 4 (NTFS RW rettigheter til Gruppe_Avdeling4)

   |-> Avdeling 5 (NTFS RW rettigheter til Gruppe_Avdeling5)

 

LzIvNmJ0.jpeg

 

mapper opp avdelingmapper mot avdelingsbrukerne.

 

Da vil bare avdelingen få tilgang til mappen?

 

Mulig jeg tenker vanskelig.

 

Men hvi jeg mapper opp hovedmappen med alle avdelingene i må sluttbrukerne inn i en mappe før de ser avdelingen sin eller?

Endret av neptun22
Lenke til kommentar

Det er absolutt best practice å lage ett felles share som alle brukerne får mappet opp på en felles bokstav, så har de forskjellige avdelingene sin egen mappe under der igjen med individuelle rettigheter. Brukerne skal sikkert ha fellesmapper som alle har tilgang til også som da ville vært naturlig å legge under det samme toppnivået?

 

Du slipper hassle med massevis av mappede disker som Haughom sier, du slipper masse forvirring blant brukere og det hele blir mye mer ryddig. Jeg har vært innom ganske mange norske og internasjonale selskaper som konsulent etter hvert, jeg har sett kun ett selskap som opererte med masse disk mappings og det var et sabla rot, total kaos. 

Lenke til kommentar

Ok,

Takk for god respons.

 

Da har jeg fått svar på det jeg trengte tror jeg.

 

Men avdelingene trenger de disse NTFS retighettene?

 

Modify
Read & execute
List folder contents
Read
Write

 

Administrator: Full controll

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...