Ich vermute mal, dass die meisten von euch wissen, wie eine Freigabe funktioniert. Dennoch lerne auch ich nie aus und vllt. ist auch hier das ein oder andere, was euch auch von Nutzen sein kann.
Microsoft Server 2022: Dateiserver installieren
Die Installation ist kinderleicht. Bedienen wir uns der GUI (Server Manager) und klicken uns mit weiter weiter fertigstellen durch:
Hier einfach "Dateiserver" anhaken.
Und schon habt Ihr den Dateiserver installiert. Einfach, wah?
Microsoft Server 2022: Struktur vorbereiten
Fangen wir erst einmal damit an, dass wir uns Gedanken machen, worauf wir Daten ablegen wollen? Es gibt unzählig viele Möglichkeiten. Habt Ihr ein Storage, dann wäre es denkbar eine LUN zu erstellen und per iSCSI einbinden. Raucht der Dateiserver ab, könnte man die LUN einfach umhängen und weiter geht es, da NTFS-Berechtigungen an der Datei hängen. Hätte somit schon einen gewissen Charme. Natürlich gibt es auch andere Varianten. Selbst wenn Ihr euch für "lokale" Platten entscheiden würdet, dann sollte Minimum ein Raid 1 besser ein höheres Raid eingerichtet sein!
Die nächsten Gedanken sollten sich um die Ordnerstruktur kümmen. Das fängt bei den späteren Backups an. Der nächste Knackpunkt ist, dass die Pfadlänge im Standard 256 Zeichen beträgt. Das kann man zwar via Regeintrag ändern, aber würde ich von abraten. Ergo sollte es keine 1000 Unterordner geben und die Dateiennamen sollten keine Lebensgeschichte erzählen!
Fangen wir aber endlich mal an. Ich entscheide mich dafür, direkt unterhalb des Laufwerkes ein Ordner zu erstellen Namens "Abteilungen" und darunter enstehen weitere Ordner mit den entsprechenden Abteilungen wie Marketing, Vertrieb etc.
Microsoft Server 2022: Freigaben
Um natürlich vom Netzwerk auf ein Verzeichnis zugreifen zu können bedarf es einer Freigabe. Einfach auf das Verzeichnis, welches freigegeben werden soll mit einen rechten Mausklick und navgieren uns zu "Freigaben" und fügen bei erweiterter Freigabe "Jeder" mit "Vollzugriff" hinzu. Man kann sich zwar auch die Arbeit machen und die gleichen Gruppen/Benutzer eintragen, die wir später auf NTFS-Basis berechtigen wollen, aber wäre aus meiner Sicht ein doppelter Pflegeaufwand.
Die Freigaben verstecke ich grundsätzlich damit, dass ich hinter dem "Freigabenamen" noch ein "$" hinzu füge.
Microsoft Server 2022: Benutzer und Gruppen anlegen und berechtigen
Auch hier nur ein gut gemeinter Rat. Tut euch selbst einen Gefallen und berechtigt keine einzelnen Benutzer, sondern macht dies auf Basis von Gruppen.
Daher fange ich an in jeder Abteilung erst einmal die Benutzer und Gruppen anzulegen.
Diese Gruppen berechtige ich, indem wir wieder auf das Verzeichnis mit rechter Maustaste klicken, zum Reiter "Sicherheit" navigiere und dort die Gruppen entsprechend berechtige.
Natürlich können Admins nicht immer den einfachen Weg gehen und bekommen oft auch Anforderungen, dass ein Benutzer nur Rechte auf einen Unterordner haben darf aber sonst nichts sowie die Unterscheidung zw. Read und Write.
Im Nachfolgenden Beispiel gehen wir einfach mal davon aus, dass es einen Azubi im Bereich Vertrieb gibt. Dieser soll zwar den Ordner Vertrieb sehen aber sonst KEINEN Inhalt, wobei der Azubi sehr wohl einen eigenen Ordner unterhalb von Vertrieb haben wird worin er natürlich alles sehen darf.
Auf den Ordner "Vertrieb" lege ich also die Gruppe "FS_Vertrieb_Azubi_readonly" und ganz wichtig "Nur dieser Ordner" sonst würde die Gruppe auch auf den Azubi-Ordner innerhalb von Vertrieb vererbt werden, was wir nicht wollen, denn auf den Azubi-Ordner benötigen wir Read/Write-Rechte.
Hier gut zu sehen, dass die FS_Vertriebsgruppe vererbt wurde und vollen Zugriff hat.
Und hier fügen wir auf den Azubi-Ordner die Gruppe "FS_Vertrieb_Azubi_readwrite". Somit kann der Azubi im Azubiordner alles machen.
Microsoft Server 2022: Freigabeberechtigungen auf Client testen
Wir melden uns also mit den entsprechenden Usern am Client an und testen die Freigaben. Hierzu fallen mir spontan drei Wege ein:
1. Grafische Oberfläche
Hier auf "Dieser PC" links klicken und oben auf "Computer" --> "Netzlaufwerk verbinden"
Nachfolgend wählen wir ein Laufwerksbuchstaben und unten drunter den Freigabepfad.
2. Verbinden via Command-Line
Mit nachfolgenden Command wäre es somit auch möglich ein Netzlaufwerk zu verbinden.
Im ersten und zweiten Step würde das Laufwerk dann so (optisch) eingebunden werden. Nicht hübsch, aber funktionell.
Entfernen: Entweder auf das LW mit rechtem Mausklick klicken und "Trennen" oder via Command-Line wie nachfolgend:
3. und schnellste Variante
Einfach oben mit \\<dateiserver>\Freigabename$ im Explorer öffnen und siehe da, funktioniert.
Prüfen wir das doch gleich noch an einem Verzeichnis, an dem wir nicht berechtigt sind.
Perfekt, so sollte es sein!
Testn wir noch schnell das, was wir für den Azubi eingerichtet haben. Dieser darf nicht im Vertriebsordner Dateien erstellen oder löschen.
Perfekt, das sollte genau so sein.
Jetzt noch prüfen ob wir innerhalb des Vertriebsordners im Azubi-Ordner Dateien erstellen und speichern dürfen... jep... das funktioniert. Prima!
Die halbe Miete ist gemacht, doch welcher Admin hat Lust auf Turnschuhadministration? Also wollen wir das Mapping zentral einrichten.
Microsoft Server 2022: Netzlaufwerke via GPO mappen
Habt Ihr gut vorgearbeitet und eine saubere Struktur, dann könnt ihr mit EINER GPO die jeweiligen Laufwerke für die verschiedenen Abteilungen mappen!
Legen wir eine GPO unterhalb der OU Abteilungen Namens: Netzlaufwerk_B_Abteilungen an
und navigieren uns ach:
Benutzerkonfiguration --> Einstellungen --> Windows-Einstellungen --> Laufwerkszuordnung --> Neu
Ich "empfehle" auch auf Aktualisieren und nicht auf Ersetzen zu stellen. Bei "Ersetzen" ist es auch wie der Name schon sagt, läuft der Zyklus durch, damit das nächste GPUPDATE kommt, dann kommt das nicht gut, wenn Ihr Dateien auf dem Netzlaufwerk offen gehabt hättet!
Wir tragen den Freigabepfade ein, können jetzt endlich auch einen "hübschen" Name vergeben sowie den Laufwerksbuchstaben.
Navigieren uns noch zu "Gemeinsame Optionen" und Haken "Zielgruppenadressierung auf Elementebene" an und klicken gleichnamigen Button.
Hier als Element: "Sicherheitsgruppe" auswählen und je Freigabe Ordner die passende Gruppe eintragen.
Als Beispiel für Vertrieb die Gruppe FS_Vertrieb.
Wir wiederholen die Schritte für alle Laufwerke in der gleichen GPO.
Siehe da... Nach Anmeldung z.B. beim Vertriebsmitarbeiter erscheint das "Vertriebs-LW". Schaut das bei dir auch so aus? Prima, gut gemacht!
Microsoft Server 2022: DFS-Namespaces installieren
Da bisher alles gut geklappt hat, machen wir es doch noch einfacher mit DFS-Namespaces. Doch was versteht man darunter? Halten wir es kurz, wenn Ihr bisher auf eine Freigabe zugegriffen habt, dann musstet Ihr immer voran \\<Dateiserver>\ stellen. Vom Doing her ist das bei Namespaces absolut identisch, allerdings sind diese "stellvertretend", d.h. wir können immer den gleichen Namen voran stellen und dahinter die Dateiserver stecken. D.h. selbst wenn Ihr mal einen Dateiserver austauscht, bleibt der Freigabename immer noch gleich und macht alleine Migrationen sehr angenehm, doch fangen wir erst einmal an:
Ich spare mir die gleichen Screenshots für die installation und beschränke mich auf die interessanten Parts und zwar hier wählen wir DFS-Namesspaces
Weiter weiter fertigstellen.
Microsoft Server 2022: DFS-Namespace einrichten
Da die Installation genauso einfach war, wie den Dateiserver zu installieren, erstellen wir doch gleich auch unseren ersten Namespace. Wir öffnen die DFS-Verwaltung über z.B. den Server-Manager --> Tools und klicken bei "Namespaces" auf "neuen Namespace".
Als erstes müssen wir den Servernamen hinterlegen. Da ich DFS auf dem DC in meiner Testumgebung installiert habe, so ist das bei mir auch der Servername.
Wir vergeben nun einen "allgemeinen" Namen für den Namespace, unter welchem später alles erreichbar sein wird.
Wir klicken einmal auf "Einstellungen bearbeiten" und bekommen folgendes Fenster:
Wir können also ersehen, wo die "allgemeine" Freigabe erstellt wurde. Wir sollen jedoch hier "unbedingt" nur auf "Leserechte" einstellen, da dies ein Verzeichnis auf dem DC ist und hier logischerweise NICHTS abgelegt werden soll.
Interessant ist dann dieser Part hier, denn ich möchte die Information im AD speichern und wäre später mit \\<domäne>\dfs01 erreichbar, sonst hätte ich (unterer Bereich) ja wieder das Problem, wenn ich migrieren wollen würde.
Wir sind hier an der Stelle schon durch und unser "Namespace" wäre vorbereitet und natürlich auch erreichbar mit \\<domänenname>\dfs01 doch noch sind ja keine Freigaben verknüpft und somit wäre nichts zu sehen.
Schauen wir einmal den angelegten dfs01 Ordner an und können unter Freigabe die Leserechte ersehen, die wir oben gesetzt hatten.
WICHTIG!
Ich hatte am Anfang einen Gedankenfehler, hier sollte natürlich NICHT alle Haken gesetzt sein sondern eben nur "lesen"!
Microsoft Server 2022: Freigaben mit Namespace verknüpfen
Jetzt haben wir zwar einen Namespace, aber da wir darunter ja noch nichts sehen, müssen wir also die bisher angelegten Freigaben verknüpfen.
Ich lege allerdings zurvor noch einen "Hilfsordner" unterhalb des Namespaces an, Ihr werdet später erfahren warum. Der Ordner lautet "Abteilungen".
Nun können wir unterhalb Abteilungen anfangen die Freigaben zu verknüpfen:
Einfach auf hinzufügen und die Freigaben je Abteilungen einbinden.
Wir hier schön zu sehen, ich habe zwar aktuell "nur" einen Dateiserver, hätte ich jedoch mehrere, dann könnte ich unter gleichem Namen mehrere Verknüpfungen zu verschiedenen Dateiservern hinterlegen und macht das Ganze EXTREM flexibel!
Soweit so gut. Alle Freigaben sind verknüpft.
Microsoft Server 2022: Sichtbarkeit der Freigaben
Was jetzt eines der wichtigsten Punkte ist, die Sichtbarkeit der Ordner. Mit einem rechten Mausklick gehen wir auf die Eigenschaften der einzelnen Abteilungsordner und wählen "Explizite Anzeigeberechtigungen für den DFS-Ordner festlegen" aus und klicken auf den Button.
Wir fügen also die Gruppe hinzu, die als einzige Gruppe berechtigt sein darf, den Ordner zu sehen. Perfekterweise haben wir natürlich die Gruppen ja schon angelegt und nutzen einfach diese, welche wir im NFTS schon benutzt haben.
Microsoft Server 2022: Zugriffsbasierte Aufzählung aktivieren
Damit das Ganze jedoch funktioniert, müssen wir an zwei Stellen Änderungen vornehmen! Wir navigieren uns auf dem "Dateiserver" zu "Freigaben" und gehen auf die Eigenschaften der jeweiligen Freigabe. Wie schon in der Beschreibung müssen wir den Haken bei "Zugriffsbasierte Aufzählung aktivieren" erst dann sieht der Benutzer auch nur die Ordner, auf die er berechtigt ist.
Das wiederholen wir natürlich pro Freigabe!
Das ist jedoch nur die halbe Miete, wir müssen selbiges auch beim Namespace in der DFS-Verwaltung aktivieren. Dies erledigen wir mit einem rechten Mausklick auf unseren Namespace --> Eigenschaften
navigieren auf "Erweitert" und setzen unten den Haken bei: "Zugriffsbasierte Aufzählung für diesen Namespace aktivieren"
Microsoft Server 2022: GPO für Namespace anlegen
Da ich ja schon eine GPO hatte, dann nutze ich diese einfach. Ich lösche alles heraus, was ich zuvor eingerichtet hatte und lege eine neue Laufwerksfreigabe an.
Jetzt erkennt Ihr auch gut, warum ich im Namespace einen Ordner Namens "Abteilung" angelegt habt. D.h. wenn wir die Freigabe anschauen mit \\<domäne>\<Namespace>\Abteilungen, dann sehen wir ja dadurch, dass wir die zugriffsbasierten Aufzählung aktivierte haben nur jene Ordner, auf die man berechtigt ist. D.h. wir müssen hier auch NICHTS mehr eintragen bei Gemeinsame Optionen!
Melden wir uns doch einfach mal mit einem Benutzer an.. und siehe da... das Laufwerk wurde gemappt. Öffnen wir das Verzeichnis, dann sehen wir nur die Ordner, auf die wir berechtigt sind. Perfekt!
Microsoft Server 2022: Freigabe für Azubi
Jetzt haben wir zwar für die Benutzer die Freigaben erstellt, die direkt Zugriff auf die Freigaben haben, aber was ist mit unserem Azubi-Szenario. Wir wiederholen kurz... der Azubi ist in der Abteilung Vertrieb, darf aber innerhalbs des Vertriebsordners NICHTS sehen oder ändern und sich nur unterhalb des Azubiordners bewegen.
Dadurch, dass die GPO unterhalb Abteilungen hängt, bekommt der Azubi natürlich auch das LW gemappt, aber noch ohne Inhalt:
Fügen wir doch einfach die "FS_Vertrieb_Azubi_readonly"-Gruppe zum sichtbaren Bereich hinzu:
und siehe da, wir sehen nun den Vertriebsordner aber richtigerweise KEIN einzigen anderen Ordner oder Datei. Aber innerhalb des Azubi-Ordners dürfen wir sehr wohl alles sehen und Dateien anlegen, ändern und löschen
Microsoft Server 2022: Dateiserver hinter Freigabe ausfindig machen
Sollte einmal etwas nicht stimmen mit einer Freigabe, dann fängt das Troubleshooting an. Gerade wenn man mehrere Dateiserver hat und man nicht weiß, welcher eine Freigabe hostet, so gibt es eine einfache Möglichkeit den Freigabeserver ausfinden zu machen.
Wir klicken mit einem rechten Mausklick auf die Freigabe --> Eigenschaften.
Hier gibt es nun einen weiteren Registerreiter "DFS" und siehe da... darunter kann man erkennen, auf welchem Server die Freigabe gehostet ist.
Auf dem Dateiserver kann man dann weiter schauen unter "Freigaben" z.B. im Servermanager, welches Verzeichnis sich hinter der Freigabe verbirgt.
Wir sind somit am Ende angelangt und hoffe der Beitrag hat euch geholfen.
Viel Spaß beim Nachbauen.