Reiner Wolff
2006-08-21 21:20:43 UTC
Moin moin,
falls es für mein Anliegen eine geeignetere NG geben sollte, bin ich ein
Korrektur dankbar.
Ich hatte eigentlich mal gedacht, ich käme mit der Rechtevergabe und
Gruppenorganisation gut zurecht. Und plötzlich ergibt sich bei mir ein
Knoten im Hirn, den mir hier hoffentlich jemand lösen kann (wäre zumindest
nett).
Gegeben sind 2 Domänen, zwischen denen eine Vertrauensstellung eingerichtet
ist. In Domäne A gibt es eine Gruppe 'Abteilungsleiter', in der einige
Mitglieder der Domäne A sind. Dieser Gruppe wurden alle gewünschten
Berechtigungen erteilt. Soweit kein Problem.
Nun gibt es einen Mitarbeiter in Domäne B, der eben dieser Gruppe
'Abteilungsleiter' der Domäne A zugeordnet werden soll, da er dieselben
Berechtigungen benötigt.
Und schon bin ich gefangen im Nicht-Verständnis von lokalen, lokalen
Domänen, globalen und universellen Gruppen.
Richte ich die Gruppe 'Abteilungsleiter' als globale oder universelle
Gruppe ein, kann ich den Mitarbeiter aus Domäne B nicht hinzufügen.
Richte ich die Gruppe als lokale Domänengruppe ein, kann ich zwar den
Mitarbeiter aus Domäne B hinzufügen (macht für mich schon keinen Sinn, dass
ich lediglich einer 'lokalen' Gruppe ein Domänenfremden Account hinzufügen
kann, nicht aber einer globalen oder universellen), aber nun der Gruppe in
Domäne B selber keine Berechtigungen mehr vergeben, da diese ja lokal ist.
Meine bislang einzige und imho etwas umständliche Lösung zu dem Problem
wäre folgendes Prinzip, um nicht ständig Probleme mit derartigen
Verknüpfungen zu haben:
Ich richte in der Domäne A eine globale Gruppe 'globAbteilungsleiter' ein,
der ich die entsprechenden Mitarbeiter aus Domäne A zuordne. Zudem richte
ich eine lokale Gruppe 'lokAbteilungsleiter' ein, der ich die eben
erstellte globale Gruppe als Mitglied zuordne und zusätzlich den
Mitarbeiter bzw. eine dortige globale Gruppe aus Domäne B. Der Gruppe
'lokAbteilungsleiter' erteile ich sodann alle Berechtigungen die benötigt
werden.
Wenn ich das für alle Gruppen und Fälle mache, hat das doch eigentlich nur
zur Folge, dass ich - sinnloser Weise - die meisten Gruppen doppelt habe
und den globalen Gruppen keine Berechtigungen erteile.
Frage1: Wäre mein Vorschlag überhaupt eine Lösung?
Frage2: Wie löst man das Problem anständig, so dass es auch
administrativ Sinn macht?
Vielen Dank fürs lesen. Ich bin für jeden Vorschlag dankbar ;-)
Greetinx aus Kiel
Reiner
falls es für mein Anliegen eine geeignetere NG geben sollte, bin ich ein
Korrektur dankbar.
Ich hatte eigentlich mal gedacht, ich käme mit der Rechtevergabe und
Gruppenorganisation gut zurecht. Und plötzlich ergibt sich bei mir ein
Knoten im Hirn, den mir hier hoffentlich jemand lösen kann (wäre zumindest
nett).
Gegeben sind 2 Domänen, zwischen denen eine Vertrauensstellung eingerichtet
ist. In Domäne A gibt es eine Gruppe 'Abteilungsleiter', in der einige
Mitglieder der Domäne A sind. Dieser Gruppe wurden alle gewünschten
Berechtigungen erteilt. Soweit kein Problem.
Nun gibt es einen Mitarbeiter in Domäne B, der eben dieser Gruppe
'Abteilungsleiter' der Domäne A zugeordnet werden soll, da er dieselben
Berechtigungen benötigt.
Und schon bin ich gefangen im Nicht-Verständnis von lokalen, lokalen
Domänen, globalen und universellen Gruppen.
Richte ich die Gruppe 'Abteilungsleiter' als globale oder universelle
Gruppe ein, kann ich den Mitarbeiter aus Domäne B nicht hinzufügen.
Richte ich die Gruppe als lokale Domänengruppe ein, kann ich zwar den
Mitarbeiter aus Domäne B hinzufügen (macht für mich schon keinen Sinn, dass
ich lediglich einer 'lokalen' Gruppe ein Domänenfremden Account hinzufügen
kann, nicht aber einer globalen oder universellen), aber nun der Gruppe in
Domäne B selber keine Berechtigungen mehr vergeben, da diese ja lokal ist.
Meine bislang einzige und imho etwas umständliche Lösung zu dem Problem
wäre folgendes Prinzip, um nicht ständig Probleme mit derartigen
Verknüpfungen zu haben:
Ich richte in der Domäne A eine globale Gruppe 'globAbteilungsleiter' ein,
der ich die entsprechenden Mitarbeiter aus Domäne A zuordne. Zudem richte
ich eine lokale Gruppe 'lokAbteilungsleiter' ein, der ich die eben
erstellte globale Gruppe als Mitglied zuordne und zusätzlich den
Mitarbeiter bzw. eine dortige globale Gruppe aus Domäne B. Der Gruppe
'lokAbteilungsleiter' erteile ich sodann alle Berechtigungen die benötigt
werden.
Wenn ich das für alle Gruppen und Fälle mache, hat das doch eigentlich nur
zur Folge, dass ich - sinnloser Weise - die meisten Gruppen doppelt habe
und den globalen Gruppen keine Berechtigungen erteile.
Frage1: Wäre mein Vorschlag überhaupt eine Lösung?
Frage2: Wie löst man das Problem anständig, so dass es auch
administrativ Sinn macht?
Vielen Dank fürs lesen. Ich bin für jeden Vorschlag dankbar ;-)
Greetinx aus Kiel
Reiner
--
Wenn irgendwas mit deinem Computer nicht stimmt, sag deiner Sekretärin,
dass sie die EDV-Abteilung anrufen soll. Wir lieben das Spielchen,
mit einer dritten Person ein Problem zu klären,
von dem Sie absolut überhaupt nichts weiss.
Wenn irgendwas mit deinem Computer nicht stimmt, sag deiner Sekretärin,
dass sie die EDV-Abteilung anrufen soll. Wir lieben das Spielchen,
mit einer dritten Person ein Problem zu klären,
von dem Sie absolut überhaupt nichts weiss.