Teil 1 - Verteilung von Namespaces auf verschiedene ServerWeiterführende DFS-R Konfiguration unter Windows Server 2003 R2Teil 3 - Staging-Folder / Quotas

Teil 2 - Verwaltungsberechtigungen / Delegierung

Autor: olc, MCSEboard.de

 

Bei DFS ist es möglich, Berechtigungen zur Verwaltung von Namespaces und Replikationsgruppen zu delegieren.

Um beispielsweise der Admin-Gruppe „Grp_G_DFSR_NameSpace_Public_Admins“ das Recht zu delegieren, den Namespace „Public“ zu verwalten, kann die DFSR MMC verwendet werden oder die Berechtigungen direkt auf Objektebene im AD gegeben werden.

Abb. 03

Um in der DFS MMC Berechtigungen zu delegieren, wählt man den entsprechenden Namespace oder die Replikationsgruppe aus, für die die Rechte vergeben werden sollen – beispielhaft wählen wir den Namespace „Public“.
Es muss nicht zwangsweise auf den Reiter „Delegierung“ gewechselt werden, jedoch empfiehlt es sich vor dem Delegieren der benötigten Rechte noch einmal einen Blick auf die aktuell vergebenen Berechtigungen zu werfen.
Nun klickt man auf „Verwaltungsberechtigungen delegieren“, wählt die Gruppe (oder Benutzer) aus, die das Verwaltungsrecht bekommen sollen, und klickt „OK“.
Weitergehende Einstellungen oder detailliertere Rechtvergabe ist nicht möglich. Es werden alle Rechte delegiert, die zur Verwaltung des Namespaces notwendig sind (siehe Abb. 03).

HINWEIS: Für das folgende Vorgehen müssen im MMC Snap-In „Active Directory Benutzer und Computer“ die „Erweiterten Funktionen“ unter „Ansicht“ eingeblendet werden. Ansonsten ist unter anderem der „System“-Container nicht sichtbar.

Möchte man zum Beispiel für DFS-R genauere Rechte vergeben, so z.B. das Recht, neue Replikationsgruppen zu erstellen oder möchte man generell granularere Berechtigungen vergeben, muss dies direkt auf den AD Objekten erledigt werden.

Beispielhaft geben wir hier der Gruppe „Grp_G_DFSR_Repl_B-HH-Daten1“ unter anderem das Recht, der Replikationsgruppe „B-HH_Daten1“ neue Replikationsordner hinzuzufügen.

Abb. 04

Hierzu öffnen wir die MMC „Active Directory Benutzer und Computer“, navigieren zum Ordner „System“, erweitern „DFS-R-GlobalSettings“, wählen „testdom.intern\public\B-HH_Daten1“ und klicken mit der rechten Maustaste auf „Content“. Im Kontextmenü wählen wir „Eigenschaften“, wechseln in den Eigenschaften zum Reiter „Sicherheit“ und vergeben dort unter „Erweitert“ das Recht „Vollzugriff“ für „Dieses und alle untergeordneten Objekte“ (siehe Abb. 04). Nach dem Bestätigen der Änderungen ist die ACL so eingerichtet, dass unterhalb der Replikationsgruppe „B-HH_Daten1“ von der oben genannten Gruppe neue Replikationsordner zur Replikationsgruppe hinzugefügt werden können.

Zu beachten ist in beiden Fällen (der DFSR MMC und der Active Directory Benutzer und Computer Variante), dass der Benutzer lokaler Administrator auf dem entsprechenden Memberserver sein muss, um z.B. Namespaces anlegen zu können oder neue Replikationsordner einzurichten.

Weitere Informationen zum Thema Delegierung findet man unter [1], [7] und [10].

 

© MCSEboard.de, olc

Teil 1 - Verteilung von Namespaces auf verschiedene ServerWeiterführende DFS-R Konfiguration unter Windows Server 2003 R2Teil 3 - Staging-Folder / Quotas