Michael1985 Geschrieben 8. November 2023 Teilen Geschrieben 8. November 2023 Hallo zusammen, ich benötige mal wieder Hilfe. Ich möchte, damit es deutlich übersichtlicher wird und aufgeräumt ist, die NTFS-Berechtigungen auf unseren Dateiserver anpassen. Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt? Beste Grüße Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Maniska Geschrieben 8. November 2023 Teilen Geschrieben 8. November 2023 vor 33 Minuten schrieb Michael1985: Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. Ich würde hier ansetzen: Anständiges Konzept (A-G-DL-P im Hinterkopf behalten, auch die Sache mit den Rollengruppe, siehe hier) erarbeiten. Erörtern bis zu welcher Ebene wirklich rechte gesetzt werden sollen (Erfahrung: Oberste Ebene muss reichen, also im Laufwerk "Projekte" nur auf die Einzelnen Projektordner etc. alles andere ist Pain in the A** zu verwalten) Gruppen basteln (eine "read+execute" eine "modify", Vollzugriff nur für die Admingruppe) Rechte neu setzen - Gruppen rein, Einzeluser raus, alles außer "neue Gruppen", System, lokale Serveradmingruppe und ggf. bei aktiver ACL noch die domain\serveradmin bzw domain/fileadmin weg. Nix mit "Ersteller", "Benutzer" und was da alles noch so mitkommt Das ist einmalig (ein Ars** voll) Aufwand, und danach ist Ruhe, sofern es die IT nicht selbst wieder kaputt macht (oder man den Betrieb wechselt und das selbe Chaos wieder aufdröseln darf *heul*) Zu deiner Frage: vor 45 Minuten schrieb Michael1985: Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt? Nur die deaktivierten? Wie oft willst du das laufen lassen? Monatlich? Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann. Sicher kann man da was basteln, aber ob das ein "vertrauenswürdiges" Script wäre... Naja. Ich würde in den sauren Apfel beißen, einmal "von oben" alles schön machen, das dann drüberfräsen (und somit die Altlasten gleich komplett entfernen) und das dann "in sauber" haben. Thanks-and-Goodbye reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ickevondepinguin Geschrieben 9. November 2023 Teilen Geschrieben 9. November 2023 (bearbeitet) vor 15 Stunden schrieb Maniska: Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann. Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt? Dann beantragt der Vorgesetzte halt (jeden?) Ordnerzugriff(e) bei der IT, dem User wird die Gruppe nachträglich gesetzt, fertig? Ich sehe den oberen Teil von @Maniskas Antwort als unabdingbar. Der zweite Teil ist nur Aufräumen. Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen.... Bearbeitet 9. November 2023 von ickevondepinguin Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Maniska Geschrieben 9. November 2023 Teilen Geschrieben 9. November 2023 vor 11 Minuten schrieb ickevondepinguin: Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt? Ja, wenn... Wenn Personen direkt berechtigt sind und aus den Ordnern fliegen bekommt man das nie wieder hingebogen. Deswegen immer GruppenGruppenGruppen. Weil, wenn eine Gruppe gelöscht wird, bleibt auch keine SID stehen, bei Usern schon. Kann man nur nie wieder aufdröseln wer das dann war Zitat Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen.... Genau das: Neu aufbauen, inkl der User in den entsprechenden neuen Gruppen. 1 Tag warten wegen Neuanmeldung (oder Unmut der User in Kauf nehmen), altes Zeug löschen. Man kann bei Gruppen auch einen Manager eintragen, dem man dann die Hoheit über die Gruppenzugehörigkeit geben kann. Dann könnte das der Chef sogar selber machen. Also wenn man so verrückt ist dass man das so machen wollen würde. ickevondepinguin reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Michael1985 Geschrieben 20. November 2023 Autor Teilen Geschrieben 20. November 2023 Hallo zusammen, vielen Dank für die zahlreichen Antworten. Ich werde mir ein Konzept überlegen. Mit freundlichen Grüßen Michael Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.