Løsningsforslag for øvingsoppgaver til leksjon 6

Øvingsoppgaver NTFS-rettigheter

1.

På en Windows tjener, er brukerkontoen brukerX medlem i to grupper: GruppeA og GruppeB. GruppeA har NTFS-rettighetene Read + List Folder Content på mappen C:\Data. Administrator lager en ny undermappe C:\Data\Dokumenter og gir GruppeB NTFS-rettigheten Write til denne undermappen

Hva er de effektive rettighetene til brukerX på mappen C:\Data\Dokumenter?

  1. Ingen
  2. Read + List Folder Content
  3. Write
  4. Read + List Folder Content + Write

Fordi brukerkontoen brukerX arver rettigheter fra grupper den er medlem av. Dessuten arver undermappen C:\Data\Dokumenter rettigheter fra mormappen C:\Data.

2.

Administrator oppretter en ny fil med navn dokument1.txt i mappen C:\Data og gir brukerX NTFS rettigheten Write på filen.

Hva er de effektive rettighetene til brukerX på denne filen?

  1. Write
  2. Read + List Folder Content
  3. Write + Read + List Folder Content
  4. Modify

Fordi filen dokument1.txt arver Read og List Folder Content fra mormappen C:\Data. I tillegg kommer de eksplisitte rettighetene (Write) som brukerX får på dokumentet.

3.

Brukeren brukerX har også NTFS rettigheten Read på mappen E:\Docs Administrator flytter nå filen dokument1.txt fra mappen C:\Data til mappen E:\docs

Hva er brukerX sine effektive NTFS-rettigheter til filen dokument1.txt nå?

  1. Ingen
  2. Read
  3. Write
  4. Read + Write

Når filen flyttes til et nytt volum, mister den alle eksplisitte (og arvede) rettigheter og arver kun mormappens rettigheter. Dvs. filen arver Read-rettighet for brukerX fra mormappen E:\docs.

Caseoppgave grupper og rettigheter (omfatter også delingsrettigheter)

En bedrift har en tjenermaskin med Windows Server som benyttes som domenekontroller for et Windows domene. Tjenermaskinen skal også brukes som filtjener for lagring av alle data i bedriften.

Basert på beskrivelsen nedenfor skal du lage et forslag til mappeinndeling (mappestruktur), domenegrupper og rettigheter for å dekke bedriftens behov, og samtidig ivareta sikkerhet i domenet. Løsningen skal lages slik at brukeradministrasjon og endringer/utvidelser blir så enkelt og ukomplisert som mulig.

Bedriften har 100 ansatte i fire ulike avdelinger: innkjøpsavdeling, lager/distribusjons¬avdeling, markedsføring-/salgsavdeling og regnskap-/økonomiavdeling. Hver avdeling har en avdelingsleder. Bedriftens ledergruppe består av de 4 avdelingsledere pluss administrerende direktør. Alle ansatte skal ha tilgang til å lese, endre og slette alle dokumenter/data som er produsert i sin egen avdeling. Alle ansatte skal dessuten ha rettighet til å se og lese alle dokumenter i andre avdelinger, unntatt ledelsens dokumenter. Ledergruppens data skal bare lederne ha tilgang til å lese, og lederne skal ikke kunne endre da andre lederenes data. Topplederen skal kunne lese, endre og slette alle dokumenter i bedriften.

Løsningsforslag:

Vi bør følge BK-GG-LD-TR metodikken og skille mellom "rollegrupper" og "tilgangsgrupper".

1. Vi oppretter en domenekonto (BK) for hver av de ansatte i bedriften.

2. Som rollegrupper lager vi en global domenegruppe (GG) for hver avdeling + ledergruppen, og melder brukerkontoene inn slik:

GruppenavnMedlemmer
InnkjøpAnsatte i denne avdelingen
Lager – distribusjon------- ” --------
Markedsføring – salg------- ” --------
Regnskap – økonomi------- ” --------
ToppledelseToppleder + alle avdelingsledere
AnsatteAlle de andre globale gruppene over

3. For å lagre felles dokumenter er det naturlig å lage en mappestruktur på tjenerens datadisk, som gjenspeiler avdelingsstrukturen. Dette kan f.eks. gjøres slik på disk E:

  • E:\Bedriftsdata (mormappe for alle bedriftens data)
    • Arv av NTFS-rettigheter fra rotmappen fjernes.
    • Spesialgruppen CREATOR OWNER gis Full Control slik at brukerne har alle rettigheter til dokumenter de oppretter selv.
    • Brukerkontoen til administrerende direktør gis Modify.
  • Undermapper av denne (som arver rettigheter fra mormappen):
    • E:\Bedriftsdata\Innkjøp
    • E:\Bedriftsdata\Lager - distibusjon
    • E:\Bedriftsdata\Markedsføring - salg
    • E:\Bedriftsdata\Regnskap - økonomi
    • E:\Bedriftsdata\Toppledelse
      • Her fjernes arv av rettigheter fra mormappen.
      • Spesialgruppen CREATOR OWNER gis Full Control til denne mappen.

4. Vi bør deretter opprette følgende domenelokale grupper (LD) og gi disse eksplisitte NTFS-rettigheter (TR) til mappene slik:

GruppenavnRettigheter
Lese_avdelingsdata List Folder Content + Read (Read & Execute) til mormappen E:\Bedriftsdata.
Disse arves videre til alle undermapper unntatt Toppledelse
Lese_ledelsesdata List Folder Content + Read (Read & Execute) til E:\ Bedriftsdata\Toppledelse.
Endre_innkjøpsdata Modify til E:\Bedriftsdata\Innkjøp
Endre_lagerdata Modify til E:\Bedriftsdata\Lager - distribusjon
Endre_markedsdata Modify til E:\Bedriftsdata\Markedsføring - salg
Endre_regnskapsdata Modify til E:\Bedriftsdata\Regnskap – økonomi
Endre_alle_data Modify til E:\Bedriftsdata

5. Deretter melder vi de globale gruppene inn i de domenelokale (GG-LD) slik:

Rettighetsgruppe (domenelokal) Medlemmer (Globale grupper)
Lese_avdelingsdata Innkjøp, Lager - distribusjon
Markedsføring - salg
Regnskap - økonomi
Toppledelse
Lese_ledelsesdataToppledelse
Endre_innkjøpsdataInnkjøp
Endre_lagerdataLager - distribusjon
Endre_markedsdata Markedsføring - salg
Endre_regnskapsdataRegnskap – økonomi
Endre_alle_dataTopplederen

6. For at brukerne skal kunne aksessere dataene på filtjeneren via nettet, må mormappen (E:\Bedriftsdata) deles ut som et share, f.eks. med sharenavnet Bedriftsdata. Vi kan deretter lage en domenelokal gruppe, f.eks. med navn Netttilgang, som vi gir delingsrettigheten Full Control til dette sharet. Deretter melder vi den globale gruppen Ansatte inn i Netttilgang. (Evt. kan vi gi delingsrettigheten direkte til en globale gruppen.) Brukernes NTFS-rettigheter vil da styre hva de har tilgang til på hver undermappe.