Bruker rettighetter på delte mapper

[neptun22]

Det er absolutt best practice å lage ett felles share som alle brukerne får mappet opp på en felles bokstav, så har de forskjellige avdelingene sin egen mappe under der igjen med individuelle rettigheter. Brukerne skal sikkert ha fellesmapper som alle har tilgang til også som da ville vært naturlig å legge under det samme toppnivået?

 

Du slipper hassle med massevis av mappede disker som Haughom sier, du slipper masse forvirring blant brukere og det hele blir mye mer ryddig. Jeg har vært innom ganske mange norske og internasjonale selskaper som konsulent etter hvert, jeg har sett kun ett selskap som opererte med masse disk mappings og det var et sabla rot, total kaos. 

 

Ok,

Ja jeg ser den.

Må i tenke boksen før jeg setter igang med noe

[Kjetil_hp]

Ok,

Takk for god respons.

 

Da har jeg fått svar på det jeg trengte tror jeg.

 

Men avdelingene trenger de disse NTFS retighettene?

 

Modify

Read & execute

List folder contents

Read

Write

 

Administrator: Full controll

 

Ja, det stemmer. Husk også å fjerne Inheritance.

[neptun22]

ok.

 

En ting jeg stusser litt på. Når jeg deler en mappe og bare med administrator.

 

Etter deling går jeg på Properties - Sharing - Advance Sharing - Premission. Der ligger everyone med full contol?

[Snylter]

At Everyone har full control på sharet er helt uproblematisk så lenge NTFS-rettighetene ikke gir det samme.

[neptun22]

ok.

[Kjetil_hp]

Det stemmer, Share-rettighetene bør (nesten) alltid settes til Everyone med Full Control. Det er på NTFS rettighetene du styrer tilgangskontrollen.

[neptun22]

så Everyone blir lagt til automatisk med full control når man deler ut en mappe?

[NoTrace]

Om du bruker "Basic Sharing", så ja.

Bruker du "Advanced Sharing", så kan du ekskludere under opprettelsen av sharet.

 

Edit: Men Everyone ligger med tilgang som default i begge tilfellene.

Endret 9. mars 2016 av TheHaughom

[neptun22]

noen som kan gi meg en beskrivels på hvordan jeg fjerne Inheritance på en mappe. Får ikke lov til å fjerne en gruppe på en undermappe.

[NoTrace]

På undermappen: Gå på Properties, Sharing, Advanced.

Trykk "Disable Inheritance".

[neptun22]

Finner ikke det

 

[NoTrace]

Whoops. Ligger under "Security" og så "Advanced".

[neptun22]

hmm

 

[Snylter]

Dette vil du helst gjøre på den delte mappen, ikke undermappene.

Gå til Security, Advanced, velg det objektet du vil endre rettighetene for og endre rettighetene for dette objektet til å gjelde kun denne mappen.

[neptun22]

Jeg tester litt i laben.

Hal laget en mappe share01 med lese tilgang. Inne i denne mappen har jeg 5 avd mapper, disse mappene må jeg fjerne everyone og legge til sikkerhetsgruppen for hver avd.

Var ikke det best practice?

[Snylter]

På mappen som heter share01 går du til security, advanced, velger Change Permissions, velger så Everyone, Edit...

Der velger du så "This folder only"

Dersom det skal ligge filer på dette nivået som også skal kunne leses velger du heller "This folder and files" (kryss samtidig av check-boksen for "Apply these permissions to objects and/or containers within this container only")

 

Å slå av arv på de individuelle undermappene er en måte å løse det på, dette er en alternativ approach som jeg personlig foretrekker i en organisasjon med struktur, orden og gode audit-rutiner.

[neptun22]

blir det slikt?

 

[Kjetil_hp]

Du fjerner 'Include inheritable permissions from this object's parent' ja. Først da kan du fjerne permissions som den har arvet fra sin parent mappe. 

[neptun22]

Share og NTFS rettigheter er litt forvirrende men.

 

Først på Share01 går du til security, advanced, velger Change Permissions, velger så Everyone, Edit. velger "This folder and files"

 

 

Skal det gjøres noe med dette på toppnivå?

 

 

Eventuelt hva vil disse gjøre?

 

Så navigerer jeg meg inn i mappen, avd1 har nå en hengelås på seg. legger til sikkerhetsgruppen avd1 og gir den modify.

 

 

Da får hele domene tilgang til denne Share01 og alle som er medlem av avd1 får tilgang til mappen avd1 og kan enditere filer, opprette undermapper å slikt.

 

 

Når man holder på mes mapper og rettigheter, hva kan Worst case scenario.

Låse alle ute av alt? Korrupte filer?

[Snylter]

Her nærmer du deg bra

 

Worst case scenario er at noen får tilgang til data de ikke skal ha tilgang til, avhengig av typen data og virksomhet kan dette være alt fra uheldig til svært alvorlig.

Eksempelvis her jeg jobber kan det være svært uheldig både med tanke på personvern og med tanke på at flere ulike konkurrerende bedrifter har data i samme domene.

 

Å gi for lite rettigheter er ikke noe å være bekymret for, det kan jo løses ved å gi mer rettigheter etterhvert som behovet melder seg. Det er langt mer uheldig å gi for mye rettigheter siden svært få vil si fra om dette..

Dersom du låser noen ute kan du uansett ta eierskap og på denne måten få tilgang til dataene igjen og så på nytt sette de rettighetene du ønsker å ha.

 

 

 

Rettighetene dine på Share01 er nå som jeg ville hatt de, det samme gjelder mappen avd01 ut fra hva jeg kan bedømme.

 

Administrators har vel full tilgang som de bør ha regner jeg med.