Hallo CB-Community. Ich bin mir nicht ganz sicher ob ich in diesem Forum hier richtig bin, allerdings gibts keines dass besser passt, also probier ich mein Glück einfach mal hier 
(Die Frage steht ganz unten, der viele Text dazwischen ist quasi informatives Hintergrundwissen, was man allerdings wissen sollte um die Frage zu beantworten^^)
Es geht sich um folgendes:
Meine Firma darf aufgrund diverser politischer Entscheidungen vom Novell eDirectory aufs Active Directory umsteigen und ich - so dumm wie ich bin - hab gesagt, ich guck mir mal an was sich alles machen lässt...
Dazu gibts zu sagen: Ich hab das Thema AD auch nur ansatzweise mitbekommen, bisschen in der Berufsschule, bisschen experimentieren aber das wars auch schon, aber dafür dass ich bis jetzt keinerlei Schulung oder sonst irgentwas besucht habe glaube komm ich ganz gut über die Runden.
Frisch aufgesetztes AD, GPOs, Loginskripte und der ganze Kram funktioniert soweit, allerdings haperts bei mich bisschen an den NTFS Rechten da ich mein (im Gegensatz zu dem NTFS Müll) gewohntes NSS gewohnt bin, deswegen suche ich hier quasi nach Hilfe oder "best practice" Lösungen oder sowas
Zunächst mal mein bisheriger Stand mit dem ichs versucht habe:
Ich hab mich soweit wie möglich an der bereits vorhandenen Ordner/Rechtestruktur angepasst, will heißen, mein AD mit seinen ganzen OUs ist nah am Organigramm der Firma aufgebaut, also gibts für jede Abteilung ihre eigene OU in der wiederum die Benutzer und standardmässig 2 Benutzergruppen drinstecken.
Auch das Filesystem ist so aufgebaut, die Abteilungsverzeichnisse haben den Namen der OU (damit mein Loginskript das Abteilungslaufwerk mappt), auf diesem Verzeichnis habe ich dann die Rechtevererbung weggenommen und nur der Benutzergruppe der Abteilung und den Administratoren Vollzugriff gegeben.
Soweit sogut, das funktioniert soweit auch schon, auf meinem Testclient bekomme ich das auch alles präsentiert, ich seh auch mein "Daten" share mit allen Ordnern.
Jetzt kommt natürlich mein Perfektionismus durch, und zwar haben wir ja, wie bereits erläutert bis jetzt auf das eDirectory aufgesetzt mit NSS Rechten und das macht folgendes:
Es blendet alle Ordner aus auf die der Benutzer keine Rechte hat.
Da gibts auch einen Nachbau von Microsoft von, und zwar nennt sich das ganze "Access Based Enumeration", das blendet ja auch alle Ordner aus auf die der Benutzer keine Rechte hat.
So, und jetzt das dicke Problem:
Wir haben leider viel zu viele Personen die abteilungsübergreifend arbeiten, dass heißt z.B: dass der Customerservice auf Ordner in der Qualitätsabteilung Zugriff haben muss.
Bisher in meinem eDirectory habe ich der "CS" Benutzergruppe einfach die entsprechenden Rechte auf den jeweiligen Ordner geben müssen und sie haben den Pfad bis zum entsprechenden Ordner im Explorer browsen können, das funktioniert bei den NTFS Rechten leider nicht, denn dafür bräuchte ich in allen übergeordneten Ordnern mindestens "read folder contents", was mit damit aber ALLE Ordner offen legt, wenn auch keine Dateien zu lesen sind UND es hebelt den ABE Mechanismus wieder aus.
Und jetzt meine Kernfrage:
Wie kann ich Benutzern oder Benutzergruppen Rechte in einem Unterordner in einem anderen Abteilungsverzeichnis Rechte geben damit Sie diesen Ordner auch finden - und das bei eingeschaltetem ABE?!
Ich kann meinen Benutzern jedenfalls nicht zutrauen sich irgentwelche UNC Pfade zu merken, und das mappen von zusätzlichen Netzlaufwerken fällt auch flach, da das ABC leider nur 26 Buchstaben hat und davon sind schon ~ 10 Buchstaben für irgnetwelche Laufwerke belegt...
Ich bin für alle Lösungen offen, ich kann auch meine komplette AD bzw. Rechtestruktur nochmal umgestalten, ich bin da total frei, ich möchte nur dass es irgentwann mal - mit vertretbarem Aufwand - möglich ist solche Ordner für andere Abteilungen bzw. Benutzer zugänglich zu machen...
im Anhang ist meine momentane Struktur mal als Bildchen verdeutlicht
(Die Frage steht ganz unten, der viele Text dazwischen ist quasi informatives Hintergrundwissen, was man allerdings wissen sollte um die Frage zu beantworten^^)
Es geht sich um folgendes:
Meine Firma darf aufgrund diverser politischer Entscheidungen vom Novell eDirectory aufs Active Directory umsteigen und ich - so dumm wie ich bin - hab gesagt, ich guck mir mal an was sich alles machen lässt...
Dazu gibts zu sagen: Ich hab das Thema AD auch nur ansatzweise mitbekommen, bisschen in der Berufsschule, bisschen experimentieren aber das wars auch schon, aber dafür dass ich bis jetzt keinerlei Schulung oder sonst irgentwas besucht habe glaube komm ich ganz gut über die Runden.
Frisch aufgesetztes AD, GPOs, Loginskripte und der ganze Kram funktioniert soweit, allerdings haperts bei mich bisschen an den NTFS Rechten da ich mein (im Gegensatz zu dem NTFS Müll) gewohntes NSS gewohnt bin, deswegen suche ich hier quasi nach Hilfe oder "best practice" Lösungen oder sowas
Zunächst mal mein bisheriger Stand mit dem ichs versucht habe:
Ich hab mich soweit wie möglich an der bereits vorhandenen Ordner/Rechtestruktur angepasst, will heißen, mein AD mit seinen ganzen OUs ist nah am Organigramm der Firma aufgebaut, also gibts für jede Abteilung ihre eigene OU in der wiederum die Benutzer und standardmässig 2 Benutzergruppen drinstecken.
Auch das Filesystem ist so aufgebaut, die Abteilungsverzeichnisse haben den Namen der OU (damit mein Loginskript das Abteilungslaufwerk mappt), auf diesem Verzeichnis habe ich dann die Rechtevererbung weggenommen und nur der Benutzergruppe der Abteilung und den Administratoren Vollzugriff gegeben.
Soweit sogut, das funktioniert soweit auch schon, auf meinem Testclient bekomme ich das auch alles präsentiert, ich seh auch mein "Daten" share mit allen Ordnern.
Jetzt kommt natürlich mein Perfektionismus durch, und zwar haben wir ja, wie bereits erläutert bis jetzt auf das eDirectory aufgesetzt mit NSS Rechten und das macht folgendes:
Es blendet alle Ordner aus auf die der Benutzer keine Rechte hat.
Da gibts auch einen Nachbau von Microsoft von, und zwar nennt sich das ganze "Access Based Enumeration", das blendet ja auch alle Ordner aus auf die der Benutzer keine Rechte hat.
So, und jetzt das dicke Problem:
Wir haben leider viel zu viele Personen die abteilungsübergreifend arbeiten, dass heißt z.B: dass der Customerservice auf Ordner in der Qualitätsabteilung Zugriff haben muss.
Bisher in meinem eDirectory habe ich der "CS" Benutzergruppe einfach die entsprechenden Rechte auf den jeweiligen Ordner geben müssen und sie haben den Pfad bis zum entsprechenden Ordner im Explorer browsen können, das funktioniert bei den NTFS Rechten leider nicht, denn dafür bräuchte ich in allen übergeordneten Ordnern mindestens "read folder contents", was mit damit aber ALLE Ordner offen legt, wenn auch keine Dateien zu lesen sind UND es hebelt den ABE Mechanismus wieder aus.
Und jetzt meine Kernfrage:
Wie kann ich Benutzern oder Benutzergruppen Rechte in einem Unterordner in einem anderen Abteilungsverzeichnis Rechte geben damit Sie diesen Ordner auch finden - und das bei eingeschaltetem ABE?!
Ich kann meinen Benutzern jedenfalls nicht zutrauen sich irgentwelche UNC Pfade zu merken, und das mappen von zusätzlichen Netzlaufwerken fällt auch flach, da das ABC leider nur 26 Buchstaben hat und davon sind schon ~ 10 Buchstaben für irgnetwelche Laufwerke belegt...
Ich bin für alle Lösungen offen, ich kann auch meine komplette AD bzw. Rechtestruktur nochmal umgestalten, ich bin da total frei, ich möchte nur dass es irgentwann mal - mit vertretbarem Aufwand - möglich ist solche Ordner für andere Abteilungen bzw. Benutzer zugänglich zu machen...
im Anhang ist meine momentane Struktur mal als Bildchen verdeutlicht
