Delegiert-Arbeitsgruppenlaufwerk administrieren

Angehängte Dokumente

ADS Namenskonzept.pdf

Administration von Dateiberechtigungen.pdf

Active Directory Struktur und Namensgebung.pdf

Wo und wie administriere ich?

Sie benötigen zur Administration folgende Voraussetzungen:

• Ihre ZDV LoginID muss für die Delegation des Gruppenlaufwerkes freigeschaltet sein (Rolle Administration reicht nicht). 
• Einen Rechner mit Windows 10 (pro oder enterprise)
• Der Rechner muss Mitglied im Active Directory der Universität sein (wenn noch nicht, kann ein Antrag auf Aufnahme ins AD an support@zdv.uni-tuebingen.de gesendet werden)
• Installation der RSAT-Tools

Die Remote Server Verwaltungs-Tools (Information von Microsoft) können in aktuellen Windows 10 Versionen leicht aktiviert werden. Gehen Sie dazu in die Einstellungen › Apps › Optionale Features. Wählen Sie «Feature hinzufügen…», dort suchen Sie nach «RSAT: Tools für Active Directory Domain Services und Lightweight Directory Services». Installieren Sie dieses. 

Nach Installation steht ihnen im Startmenü unter "Windows Verwaltungsprogramme › Active Directory Benutzer und Computer" zur Verfügung. Zur Nutzung des Werkzeuges ist es notwendig, dass ihr Rechner im AD ist und Sie mit dem berechtigten Benutzer aus der Domäne am Rechner angemeldet sind. 

Sollte letzteres nicht der Fall sein, kann man das Tool auch in der Powershell folgendermaßen starten:

runas /user:uni-tuebingen\abcde01 "mmc dsa.msc"

(ersetzen Sie abcde01 natürlich durch die berechtigte LoginID). 

Für das Setzen der NTFS-Berechtigungen nutzen Sie den Dateiexplorer. Die Verbindung zum Gruppenlaufwerk muss natürlich mit dem berechtigten Benutzeraccount aufgebaut werden. Das Problem besteht nicht, wenn man sich schon mit dem berechtigten Benutzer am Rechner angemeldet hat. 

Zur Überprüfung von Ordnerberechtigungen: NTFS Permissions Reporter_Portable.zip.

Wo und wie administriere ich? (veraltet)

Wir empfehlen für die Administration den Administrations-Terminalserver des ZDV "u-rdshost01.uni-tuebingen.de" zu nutzen. Sie finden dort eine definierte Umgebung mit allen notwendigen Tools vor. Für den Zugriff müssen Sie sich im Netzwerk der Universität Tübingen befinden oder per VPN-Client verbunden sein.

• Starten Sie auf einem Windows-Rechner (Windows 7 oder neuer) den Microsoft Terminalserver-Client MSTSC.EXE und tragen Sie den oben genannten Server ein.

• Loggen Sie sich auf dem Server mit dem ZDV-Benutzer-Account ein, das für die GLW-Admnistration berechtigt wurde.

Alternativ können Sie die Administration mit den "Microsoft Windows Remote Server Administration Tools" vornehmen. Diese können Sie auf Ihrem Domänenrechner installieren. Den Download finden Sie auf den Microsoft Webseiten.

Welche Werkzeuge gibt es?

• Administration der Gruppen (Installation siehe oben):
  Starten Sie die Konsole "Administrative Tools" => "Active Directory Users and Computers"

• Administration der Ordner-/Dateiberechtigungen:
  Windows Dateiexplorer mit verbundenem Gruppenlaufwerk auf dem Terminalserver

• Prüfen von Ordner-/Dateiberechtigungen: Installieren Sie das Tool "NTFS Permissions Reporter" (siehe oben)
  Auf dem Terminserver ist das Tool "NTFS Permission Reporter" installiert
  (START-Menü => "All Programs" => "Cjwdev" => "NTFS Permission Reporter")

Wo kann ich im Active Directory (AD) Gruppen anlegen?

Bei der Erstellung des Gruppenlaufwerks wurde Ihnen vom ZDV eine OU (Organizational Unit = Ordner im Active Directory) genannt, für die Ihnen die Administration delegiert wurde (Beispiel: "uni-tuebingen.de/UT/ZE/02/02/99/Groups/D"). Der Präfix für die Benennung Ihrer Gruppen bildet sich immer aus dem fett markierten Teil ihrer OU (Beispiel: "ZE020299").

Weitere Informationen zum Verständis des AD-Aufbaus können Sie dem Anhang "Active Directory Struktur und Namensgebung.pdf" entnehmen.

Wie werden Berechtigungen vergeben?

Die Vergabe und Pflege von Dateiberechtigungen ist ein komplexes Thema, das in seiner Tiefe hier nicht beleuchtet werden kann. Einen Überblick über die Strategie können Sie dem angehängten Dokument "Administration von Dateiberechtigungen.pdf" entnehmen.

Wie werden Gruppen benannt?

Für das Benennen von Objekten im AD gibt es das angehängte Namenskonzept "ADS Namenskonzept.pdf", an das Sie sich unbedingt halten müssen. Der Präfix für die Gruppennamen ergibt sich aus der OU (siehe oben).

Welche durch das ZDV angelegte Gruppen darf ich am Anfang ändern?

Bei der Erstellung des Gruppenlaufwerks durch das ZDV wurden einige Standardgruppen in Ihrer OU angelegt. Sie können diese verändern/löschen, wie sie wollen, mit folgenden Ausnahmen:

Sie erhalten über die Gruppen "<prefix>-gFf_GLW" und „<prefix>-GLW Admininstration“ Vollzugriff auf das Laufwerk. Sie sollten diese Gruppen also vorerst NICHT LÖSCHEN oder die NTFS Rechte der „–gFf_“ Gruppe auf dem Hauptverzeichnis ändern, weil Sie sonst selbst die Administrationsrechte verlieren.

Wichtiger Hinweis: Bei Missachtung der oben beschrieben Regeln behält sich das ZDV vor, die Delegation von OUs wieder zu entziehen.

Weitere Informationen zum Thema Arbeitsgruppenlaufwerke:

• Page:
  Service Level für Arbeitsgruppenlaufwerke
• Page:
  Arbeitsgruppenlaufwerke (GLW)
• Page:
  Welche Rollen gibt es für Arbeitsgruppenlaufwerke?
• Page:
  Beantragung eines Gruppenlaufwerkes
• Page:
  Kündigen eines Arbeitsgruppenlaufwerkes
• Page:
  Ändern der Benutzer eines Arbeitsgruppenlaufwerkes
• Page:
  Berechtigungen für Arbeitsgruppenlaufwerke anzeigen
• Page:
  Wiederherstellen von gelöschten Dateien/Ordner auf Arbeitsgruppenlaufwerke
• Page:
  Spezielle Berechtigungen für einen Ordner einrichten (Service Level advanced)
• Page:
  Quota (Speicherkapazität) für ein Gruppenlaufwerk ändern
• Page:
  Delegiert-Arbeitsgruppenlaufwerk administrieren
• Page:
  Wie kann ich mich mit einem Arbeitsgruppenlaufwerk (GLW) oder einem persönlichen Laufwerk verbinden?
• Page:
  Netzlaufwerke nur bei Zugriff verbinden
• Page:
  Word/Excel/Acrobat können ein Dokument auf einem Gruppenlaufwerk nicht öffnen