Zum Inhalt springen

Deaktivierte AD Benutzer NTFS Ordnerberechtigungen


Empfohlene Beiträge

Geschrieben

Hallo zusammen, 

ich benötige mal wieder Hilfe. 

Ich möchte, damit es deutlich übersichtlicher wird und aufgeräumt ist, die NTFS-Berechtigungen auf unseren Dateiserver anpassen. 

Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. 

Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt?

 

Beste Grüße

 

Geschrieben
vor 33 Minuten schrieb Michael1985:

Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. 

Ich würde hier ansetzen:

  • Anständiges Konzept (A-G-DL-P im Hinterkopf behalten, auch die Sache mit den Rollengruppe, siehe hier) erarbeiten.
  • Erörtern bis zu welcher Ebene wirklich rechte gesetzt werden sollen (Erfahrung: Oberste Ebene muss reichen, also im Laufwerk "Projekte" nur auf die Einzelnen Projektordner etc. alles andere ist Pain in the A** zu verwalten)
  • Gruppen basteln (eine "read+execute" eine "modify", Vollzugriff nur für die Admingruppe)
  • Rechte neu setzen - Gruppen rein, Einzeluser raus, alles außer "neue Gruppen", System, lokale Serveradmingruppe und ggf. bei aktiver ACL noch die domain\serveradmin bzw domain/fileadmin weg. Nix mit "Ersteller", "Benutzer" und was da alles noch so mitkommt

Das ist einmalig (ein Ars** voll) Aufwand, und danach ist Ruhe, sofern es die IT nicht selbst wieder kaputt macht (oder man den Betrieb wechselt und das selbe Chaos wieder aufdröseln darf *heul*)

 

Zu deiner Frage:

vor 45 Minuten schrieb Michael1985:

Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt?

Nur die deaktivierten? Wie oft willst du das laufen lassen? Monatlich?

Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann.

Sicher kann man da was basteln, aber ob das ein "vertrauenswürdiges" Script wäre... Naja.

Ich würde in den sauren Apfel beißen, einmal "von oben" alles schön machen, das dann drüberfräsen (und somit die Altlasten gleich komplett entfernen) und das dann "in sauber" haben.

Geschrieben (bearbeitet)
vor 15 Stunden schrieb Maniska:

Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann.

Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt?

Dann beantragt der Vorgesetzte halt (jeden?) Ordnerzugriff(e) bei der IT, dem User wird die Gruppe nachträglich gesetzt, fertig?

Ich sehe den oberen Teil von @Maniskas Antwort als unabdingbar. Der zweite Teil ist nur Aufräumen.
Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen....

Bearbeitet von ickevondepinguin
Geschrieben
vor 11 Minuten schrieb ickevondepinguin:

Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt?

Ja, wenn... :D

Wenn Personen direkt berechtigt sind und aus den Ordnern fliegen bekommt man das nie wieder hingebogen. Deswegen immer GruppenGruppenGruppen.

Weil, wenn eine Gruppe gelöscht wird, bleibt auch keine SID stehen, bei Usern schon. Kann man nur nie wieder aufdröseln wer das dann war :D

Zitat

Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen....

Genau das:

Neu aufbauen, inkl der User in den entsprechenden neuen Gruppen. 1 Tag warten wegen Neuanmeldung (oder Unmut der User in Kauf nehmen), altes Zeug löschen.

Man kann bei Gruppen auch einen Manager eintragen, dem man dann die Hoheit über die Gruppenzugehörigkeit geben kann. Dann könnte das der Chef sogar selber machen. Also wenn man so verrückt ist dass man das so machen wollen würde.

  • 2 Wochen später...

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...