# Betriebshandbuch: Installation und Setup des File Servers
**Projekt:** Aufbau einer ausfallsicheren IT-Infrastruktur (ByteTrail GmbH)
**Dokument:** DOKU-Fileserver-Setup.md
**Stand:** SS 2026

Diese Dokumentation fasst die grundlegenden Schritte zur Installation und Konfiguration des redundanten Fileservers zusammen.

---

## Schritt 1: Server-Rollen installieren
Auf den vorgesehenen Fileservern in der Zentrale (`SRV-HQ-FS01`) und der Niederlassung (`SRV-BR-FS01`) müssen über den Server-Manager (oder PowerShell) folgende Windows-Rollen installiert werden:
* **Dateiserver** (File Server)
* **DFS-Namespaces** (DFS-N) – für den domänenweiten Namensraum (z.B. `\\bytetrail.local\Daten`)
* **DFS-Replikation** (DFS-R) – für die Synchronisation der Daten zwischen Zentrale und Niederlassung

## Schritt 2: Grundverzeichnis & SMB-Freigabe einrichten
1. Eine separate Daten-Partition (z.B. Laufwerk `D:\`) bereitstellen.
2. Das Basisverzeichnis erstellen: `D:\Freigabe`.
3. Den Ordner als SMB-Netzwerkfreigabe (Share) freigeben:
   * **Share-Name:** `Freigabe` (oder `Daten`)
   * **Share-Berechtigungen:** `Domänen-Admins` (Vollzugriff) und `Domänen-Benutzer` (Ändern). 
   * *Hinweis: Die eigentliche Restriktion der Zugriffe erfolgt nicht hier, sondern über NTFS im nächsten Schritt.*

## Schritt 3: Ordnerstruktur anlegen & Vererbung deaktivieren
1. Im Basisverzeichnis die Abteilungsordner anlegen (`Geschaeftsfuehrung`, `Sales`, `Marketing`, `Service`, `Austausch`).
2. Auf dem Basisordner (`D:\Freigabe`) in den Erweiterten Sicherheitseinstellungen die **Vererbung deaktivieren** ("Alle vererbten Berechtigungen in explizite Berechtigungen umwandeln" bzw. entfernen).

## Schritt 4: NTFS-Berechtigungen setzen (AGDLP-Prinzip)
Für jeden Abteilungsordner werden nun die spezifischen Rechte über die Active Directory Sicherheitsgruppen vergeben:
1. **IT-Admins** (`GRP-ADMINS`) erhalten überall **Vollzugriff** (wichtig für Backups).
2. Die jeweilige **Fachabteilung** (z.B. `GRP-SALES-FILES` für den Sales-Ordner) erhält das Recht **Ändern** (Modify).
3. Die **Geschäftsführung** (`GRP-GF-VOLLZUGRIFF`) erhält auf alle Fremd-Ordner das Recht **Lesen & Ausführen** (Read & Execute).
4. Der Ordner **Austausch** bekommt für alle `Domänen-Benutzer` das Recht **Ändern**.

## Schritt 5: DFS (Distributed File System) konfigurieren
Um die geforderte Ausfallsicherheit zu gewährleisten:
1. **Namespace erstellen:** Im DFS-Management einen domänenbasierten Namespace (z.B. `\\bytetrail.local\Freigabe`) erstellen.
2. **Ordnerziele hinzufügen:** Die SMB-Shares der Zentrale und der Niederlassung als Ziele (Folder Targets) hinzufügen.
3. **Replikationsgruppe erstellen:** Eine DFS-Replikationsgruppe (Full Mesh / bidirektional) zwischen beiden Servern einrichten, damit neue Dateien automatisch synchronisiert werden.