Zum Inhalt springen

Deaktivierte AD Benutzer NTFS Ordnerberechtigungen

Micha1985

Von Micha1985
in Windows

 Teilen

Empfohlene Beiträge

Micha1985

Micha1985

Geschrieben
Geschrieben

Hallo zusammen, 

ich benötige mal wieder Hilfe. 

Ich möchte, damit es deutlich übersichtlicher wird und aufgeräumt ist, die NTFS-Berechtigungen auf unseren Dateiserver anpassen. 

Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. 

Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt?

Beste Grüße

Maniska

Maniska

Geschrieben
Geschrieben
  Am 8.11.2023 um 14:47 schrieb Michael1985:

Hier wurden in der Vergangenheit AD-Benutzer einzeln berechtigt und nicht über Sicherheitsgruppen. 

Aufklappen  

Ich würde hier ansetzen:

  • Anständiges Konzept (A-G-DL-P im Hinterkopf behalten, auch die Sache mit den Rollengruppe, siehe hier) erarbeiten.
  • Erörtern bis zu welcher Ebene wirklich rechte gesetzt werden sollen (Erfahrung: Oberste Ebene muss reichen, also im Laufwerk "Projekte" nur auf die Einzelnen Projektordner etc. alles andere ist Pain in the A** zu verwalten)
  • Gruppen basteln (eine "read+execute" eine "modify", Vollzugriff nur für die Admingruppe)
  • Rechte neu setzen - Gruppen rein, Einzeluser raus, alles außer "neue Gruppen", System, lokale Serveradmingruppe und ggf. bei aktiver ACL noch die domain\serveradmin bzw domain/fileadmin weg. Nix mit "Ersteller", "Benutzer" und was da alles noch so mitkommt

Das ist einmalig (ein Ars** voll) Aufwand, und danach ist Ruhe, sofern es die IT nicht selbst wieder kaputt macht (oder man den Betrieb wechselt und das selbe Chaos wieder aufdröseln darf *heul*)

Zu deiner Frage:

  Am 8.11.2023 um 14:47 schrieb Michael1985:

Gibt es ein Powershellscript, was die deaktivierten AD-Benutzer aus den NTFS-Berechtigungen entfernt?

Aufklappen  

Nur die deaktivierten? Wie oft willst du das laufen lassen? Monatlich?

Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann.

Sicher kann man da was basteln, aber ob das ein "vertrauenswürdiges" Script wäre... Naja.

Ich würde in den sauren Apfel beißen, einmal "von oben" alles schön machen, das dann drüberfräsen (und somit die Altlasten gleich komplett entfernen) und das dann "in sauber" haben.

ickevondepinguin

ickevondepinguin

Geschrieben
Geschrieben (bearbeitet)
  Am 8.11.2023 um 15:41 schrieb Maniska:

Spätestens wenn der AD User gelöscht wurde und nur noch die SID übrig ist, ODER wenn ein User vorübergehend deaktiviert wurde, z.B. wegen Elternzeit schaufelst du dir damit ein Loch das recht tief werden kann.

Aufklappen  

Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt?

Dann beantragt der Vorgesetzte halt (jeden?) Ordnerzugriff(e) bei der IT, dem User wird die Gruppe nachträglich gesetzt, fertig?

Ich sehe den oberen Teil von @Maniskas Antwort als unabdingbar. Der zweite Teil ist nur Aufräumen.
Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen....

Bearbeitet von ickevondepinguin
Maniska

Maniska

Geschrieben
Geschrieben
  Am 9.11.2023 um 07:31 schrieb ickevondepinguin:

Wieso? Wenn man in Vorarbeit die Gruppen definiert hat und setzt?

Aufklappen  

Ja, wenn... :D

Wenn Personen direkt berechtigt sind und aus den Ordnern fliegen bekommt man das nie wieder hingebogen. Deswegen immer GruppenGruppenGruppen.

Weil, wenn eine Gruppe gelöscht wird, bleibt auch keine SID stehen, bei Usern schon. Kann man nur nie wieder aufdröseln wer das dann war :D

  Zitat

Andererseits: Beim erstellen der nötigen Gruppen und setzen der entsprechenden Rechte kannst du auch direkt händisch aufräumen....

Aufklappen  

Genau das:

Neu aufbauen, inkl der User in den entsprechenden neuen Gruppen. 1 Tag warten wegen Neuanmeldung (oder Unmut der User in Kauf nehmen), altes Zeug löschen.

Man kann bei Gruppen auch einen Manager eintragen, dem man dann die Hoheit über die Gruppenzugehörigkeit geben kann. Dann könnte das der Chef sogar selber machen. Also wenn man so verrückt ist dass man das so machen wollen würde.

  • 2 Wochen später...
Micha1985

Micha1985

Geschrieben
  • Autor
Geschrieben

Hallo zusammen, 

vielen Dank für die zahlreichen Antworten. 

Ich werde mir ein Konzept überlegen. 

Mit freundlichen Grüßen

Michael 

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Weiterlesen  

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...