Umstellung auf Gruppenberechtigung
Was bedeutet das für bestehende Institutslaufwerke?
Für bestehende Institutslaufwerke müssen alle Einzelberechtigung (Trustees) auf Gruppenberechtigungen umgestellt werden. Die Administratoren der betroffenen Institutslaufwerke wurden im Dezember 2019 per E-Mail direkt drüber informiert und können eine Übersicht ihrer Institutslaufwerke inkl. Berechtigungen per Reply auf die E-Mail anfordern.
Speziell für Administratoren, die mit der Umstellung betraut sind:
Sie können sich generell über die Rechteverwaltung für Instituslaufwerk K: L: informieren und die nachfolgenden Hinweise lesen:
Traditionell wurden Berechtigungen jeweils für einzelne Benutzer (Accounts) eingetragen. Auf unseren bisherigen Fileservern (OES, Laufwerk K:) setzt das voraus, daß der Microfocus Client auf Ihrem PC installiert ist, welchen wir ab Windows 10 jedoch nicht mehr anbieten und nicht mehr unterstützen. Auf unseren neueren Fileservern (NTFS-basiert, Laufwerk L:) sind Berechtigungen für einzelne Benutzer zwar ebenfalls möglich, aber mit mehreren gravierenden Nachteilen verbunden, sodaß wir sie dort ebenfalls nicht mehr anbieten können (und auch noch nie angeboten haben). Wir empfehlen, die auf K: noch vorhandenen Einzelbenutzer-Berechtigungen zeitnah auf gruppenbasierte Berechtigungen umzustellen.
Laufwerke unter K: werden auf unserem OES Cluster ("Novell Server") gehostet; dabei handelt es sich um etwas ältere Technik, die demnächst abgelöst werden soll. Diese Laufwerke sind in der Regel schon vor längerer Zeit angelegt worden und sind deshalb noch nicht mit gruppenbasierter Rechteverwaltung konfiguriert. Laufwerke unter L: werden auf neuerer Technik gehostet, sie sind allesamt bereits mit gruppenbasierter Rechteverwaltung konfiguriert.
Die gruppenbasierte Berechtigungsverwaltung ist für Sie insgesamt einfacher, weil Sie sich nicht mehr mit den betriebssystemabhängigen Subtilitäten der diverser Berechtigungssysteme beschäftigen müssen. Sie legen nach Bedarf Gruppen an und lassen diese Gruppen vom RZ mit Ihren Ordnern verknüpfen. Anschließend pflegen Sie die Gruppenmitgliedschaften durch ein einfach bedienbares Web-Interface in unserem User Portal.
Dafür kann es mehrere Gründe geben. Wir können einen Fehler gemacht und eines Ihrer Laufwerke schlicht übersehen haben. Oder Sie sind (noch) nicht als Betreuer des betreffenden Laufwerks bei uns registriert, beispielsweise weil das Laufwerk noch von Ihrem Vorgänger/in bestellt wurde. Oder das Laufwerk ist bereits mit gruppenbasierter Rechteverwaltung konfiguriert - Faustregel: alle Laufwerke unter dem Buchstaben L: besitzen gruppenbasierte Berechtigungen, die meisten unter dem Buchstaben K: dagegen noch nicht.
Sie antworten auf unsere Mail vom Dezember 2019 und erhalten dann für die von Ihnen betreuten Laufwerke eine Liste der aktuell vorhandenen Berechtigungseinträge. Anhand dieser Liste überprüfen Sie, inwieweit die aktuellen Berechtigungen zusammengefaßt und/oder vereinfacht werden können. Dann legen Sie die benötigten Gruppen an und teilen dem RZ mit, welche Gruppen mit welchen Ordnern verknüpft werden sollen. Das RZ nimmt die Verknüpfung vor und entfernt dabei gleichzeitig die vorhandenen Einzelbenutzer-Berechtigungen.
Weitere Infos unter Rechteverwaltung für Institutslaufwerke
Nicht unbedingt. Sie benötigen Gruppen für jeden Ordner, an dem ein Berechtigungseintrag vorgenommen werden soll. Sie können dabei sowohl eine Gruppe mit mehreren Ordnern verknüpfen, als auch mehrere Gruppen mit demselben Ordner verknüpfen. Wir empfehlen dringend, dabei darauf zu achten, daß die Berechtigungen möglichst einfach und übersichtlich
strukturiert bleiben - es ist in der Praxis i.d.R. nicht sinnvoll, sehr komplizierte Berechtigungsstrukturen aufzubauen, weil oftmals nicht mehr leicht zu erkennen ist, warum jemand Berechtigungen für einen bestimmten Ordner besitzt (oder nicht besitzt).
Wir bieten zwei verschiedene Rechtekombinationen an - reine Leserechte, sowie Lese- und Schreibrechte. Schreibrechte umfassen auch die Berechtigung, vorhandene Dateien zu verändern und zu löschen.
Ja.
Aus technischen und organisatorischen Gründen können Berechtigungseinträge nur auf den ersten beiden Verzeichnisebenen Ihres Laufwerks eingetragen werden. Ein Beispiel: es gibt auf Ihrem Laufwerk den Pfad "L:\42-RZ\MeinLaufwerk\Ebene1\Ebene2\Ebene3". In diesem Fall können Sie Berechtigungseinträge für die Ordner "Ebene1" und "Ebene2" eintragen lassen, aber nicht für den Ordner "Ebene3". Berechtigungen, die Sie auf "Ebene1" vergeben, gelten aber auch für "Ebene2" und "Ebene3" (und weitere); genauso gelten Berechtigungen, die Sie auf "Ebene2" vergeben, auf "Ebene3" (und weiteren). Berechtigungen vererben sich also auf alle Unterordner.
Jeder Berechtigungseintrag muß stets mit einer Gruppe verknüpft sein, auch dann, wenn nur für eine einzige Person Rechte vergeben werden sollen. Das bedeutet, daß Sie für derartige Fälle eine Gruppe mit nur einem einzigen Mitglied benötigen.
Diese Option ist momentan für Laufwerke auf L: technisch nicht verfügbar, wird aber voraussichtlich mittelfristig möglich werden. Für Laufwerke auf K: besteht zwar technisch die Möglichkeit, solche Beschränkungen zu konfigurieren, aber wir bitten Sie darum, vorerst möglichst darauf zu verzichten (um ggfs. einen eventuell nötigen Umzug von K: nach L: zu vereinfachen).
Alle Daten auf den Institutslaufwerken unter K: und L: werden täglich (in der Regel abends) durch unser automatisches Backup-System gesichert. Wir bewahren die Backups der letzten 60 Tage so auf, daß wir die gesichterten Dateien tagesgenau wiederherstellen können. Länger zurückliegende Backups (also Sicherungen, die vor mehr als 60 Tagen erfolgt sind), sind oft auch noch verfügbar, aber hier können wir keine Verfügbarkeit mehr garantieren - das kommt unter anderem darauf an, wann und wie häufig die betreffenden Dateien geändert worden sind.
Für die unter dem Laufwerksbuchstaben K: gehosteten Laufwerke können Sie mit einer Anfrage an fup@rz.uni-wuerzburg.de eine Liste der vorhandenen Berechtigungseinträge anfordern. Für die unter L: gehosteten Laufwerke ist dieser Service ebenfalls geplant, aber aktuell leider noch nicht möglich.