Jump to content

Freigabe- oder Sicherheitsberechtigung - wer gibt den Ton an?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich erstelle als Beispiel auf dem DC SBS 2003 Domäne eine Netzfreigabe, dort gebe ich unter Freigabe dem User "Jeder" nur die Anzeige-Berechtigung und in den Sicherheitseinstellungen der Sicherheitsgruppe "Büro" Vollzugriff.

 

Der User "Maier" ist Domain Power User und befindet sich in der Gruppe "Büro". Theoretisch müsste er doch über die Netzwerkumgebung in der Freigabe Dateien öffnen, bearbeiten und löschen können.

 

Wenn ich mich nicht irre zieht doch immer die "höhere" Berechtigung entweder in der Freigabe oder in den Sicherheitseinstellungen. Bin ich da so verkehrt?

 

Der User erhält keinen Zugriff auf die Freigabe und kann keine Daten editieren. Doofer Newbie-Fehler, aber wo liegt der Fehler?

Link zu diesem Kommentar
Hallo,

 

ich erstelle als Beispiel auf dem DC SBS 2003 Domäne eine Netzfreigabe, dort gebe ich unter Freigabe dem User "Jeder" nur die Anzeige-Berechtigung und in den Sicherheitseinstellungen der Sicherheitsgruppe "Büro" Vollzugriff.

 

Der User "Maier" ist Domain Power User und befindet sich in der Gruppe "Büro". Theoretisch müsste er doch über die Netzwerkumgebung in der Freigabe Dateien öffnen, bearbeiten und löschen können.

 

Wenn ich mich nicht irre zieht doch immer die "höhere" Berechtigung entweder in der Freigabe oder in den Sicherheitseinstellungen. Bin ich da so verkehrt?

 

Der User erhält keinen Zugriff auf die Freigabe und kann keine Daten editieren. Doofer Newbie-Fehler, aber wo liegt der Fehler?

Es zieht immer die restriktivere Berechtigung von Beiden (Freigabe - NTFS);)

 

grizzly999

Link zu diesem Kommentar

D.h. die Sicherheitseinstellungen sind für eine Freigabe nebensächlich - sprich ich regle die Zugriffsberechtigung ausschließlich über die Freigabeberechtigung?

 

Da "Jeder" der Gruppe "Büro" übergeordnet ist, funktioniert der Zugriff nicht - richtig?

Wie realisiert man es dann das wirklich nur Büro Zugriff darauf hat?

 

Einfach nur für Büro freigeben?

Link zu diesem Kommentar

Hallo!

 

Ich sag nur implizit und explizit!

 

In deinen Fall gibst du in der Freigabeberechtigung der Gruppe "Jeder" keinen Haken - implizit verweigern. Dann fügst du die Gruppe Büro hinzu und gibst dieser das Recht Vollzugriff erlauben - explizit erlaubt.

 

In den NTFS-Berechtigungen kannst du alle Standardberechtigungen (Ersteller-Besitzer usw.) lassen oder bis auf System alle entfernen. Je nachdem wie restriktiv die Zugriffe erlaubt / verweigert werden sollen. Auf jeden fügst du die Gruppe "Büro" hinzu und erteilst dieser das Recht Ändern - Zulassen. Damit können die Mitglieder dieser Gruppe alles machen außer die Berechtigungen ändern. Allerdings solltest du dann auch Mitglied der Gruppe Büro sein, sonst hast du keinen Zugriff mehr. Wenn du ERSTELLER-BESITZER und Benutzer drin gelassen hast, kann auch jeder nur seine Dateien ändern und löschen.

 

Grüße

 

Kegol

Link zu diesem Kommentar
D.h. die Sicherheitseinstellungen sind für eine Freigabe nebensächlich - sprich ich regle die Zugriffsberechtigung ausschließlich über die Freigabeberechtigung?

 

Da "Jeder" der Gruppe "Büro" übergeordnet ist, funktioniert der Zugriff nicht - richtig?

Wie realisiert man es dann das wirklich nur Büro Zugriff darauf hat?

 

Einfach nur für Büro freigeben?

 

Nein, eigentlich andersrum: Wie ducke bereits geschrieben hat, Freigabe: Jeder Vollzugriff und über die NTFS-Berechtigungen dann die eigentlichen Rechte.

Die restriktiveren Rechte beziehen sich auf Freigabe/NTFS-Berechtigung. Wenn ein User in mehreren Gruppen (Jeder und Büro) ist, gelten die höheren Rechte, es sein denn es gibt eine explizite Verweigerung!

Link zu diesem Kommentar

Wenn die Freigabe auf Vollzugriff steht und die NTFS-Berechtigung auf Ändern, dann kann jeder Benutzer die Berechtigungen aller Dateien ändern, die er erstellt hat (er ist der Besitzer). Steht die Freigabe allerdings nur auf Ändern, kann er das selbst als Besitzer nicht (wenn er nicht gleichzeitig Administrator ist) ...

Im Übrigen ist das Entfernen aller Haken auch kein implizites Verweigern, diese Gruppe wird einfach nur nicht berücksichtigt ...

Link zu diesem Kommentar
Nein, die Freigabeberechtigung und NTFS Berechtigungen zählen schon zusammen. Nur das niedrigste Recht wird angewendet.

 

Am einfachsten machst du (wie ich oben schon geschrieben habe) die Freigabeberechtigung auf: Jeder -> Vollzugriff

Dann kannst du mit den NTFS Rechten feiner arbeiten.

Also bei dir dann Büro -> Vollzugriff

 

Also wenn ich jetzt dem User "Jeder" in der Freigabe "Vollzugriff" erteile und anschließend in den Sicherheitseinstellungen den Zugriff "Verweiger" und der Gruppe "Büro" Vollzugriff erlaube - haut es hin?

 

Fraglich ist doch dann weshalb muss ich in der Freigabe "Jeder" überhaupt Vollzugriff geben wenn ich den Zugriff im Prinzip verbieten möchte.

Link zu diesem Kommentar

Dann hat niemand mehr Zugriff, da eine Verweigerung VOR einer Gewährung erfolgt. Erzeuge eine Gruppe, in der sich alle Benutzer befinden, die zugreifen sollen und berechtige sie auf Freigabe- wie auf NTFS-Ebene. Dann können nur die zugreifen, die sollen. Den gleichen Effekt erzielst Du aber auch, wenn Du auf Freigabeebene Jeder benutzt und auf NTFS-Ebene diese spezielle Gruppe (und auch umgekehrt), der erste Vorschlag ist aber sauberer ...

- Berechtigungen sind kumulativ. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A hat Lesen und Gruppe B hat Ändern, hat er effektiv ändern.

- Verweigerungen sind vorrangig. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A wird Lesen verweigert und Gruppe B hat Vollzugriff, wird er verweigert.

- Im Zusammenspiel von Freigabe- und NTFS-Berechtigungen gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist in der Freigabe Jeder - Vollzugriff definiert und im NTFS-Ordner (der freigegeben wurde) Jeder - Lesen, darf nur gelesen werden (restriktiver als Vollzugriff)

- Ein explizites Erlauben überschreibt ein geerbtes Verweigern. Ist auf höherer Ebene für eine Gruppe der Zugriff verweigert worden und wird diese Verweigerung nacht unten veerbt und hake ich irgendwo weiter unten ein Erlauben für diese Gruppe an, darf sie ab dort zugreifen ...

Link zu diesem Kommentar

Ok, glaub soweit verstanden.

 

Also jetzt nocheinmal um sicher zu gehen, dass ich es korrekt verstanden habe. Die Sicherheitseinstellungen laufen auf NTFS Ebene und regeln den Zugriff auf Daten / Ordner. Über die Freigabe wird der Ordner dann zunächsteinmal überhaupt im Netz veröffentlicht. Dort kann ich bereits einschränken wer überhaupt auf die Freigabe zugreifen darf, dies hat mit lokal absolut nichts zu tun.

Die Sicherheitseinstellungen sind dagegen massgeblich verantwortlich wer was mit den Daten machen darf - sowohl lokal als auch im Netz.

Zudem hat eine Verweigerung immer Vorrang vor einer Erlaubnis.

 

Bestanden? :)

Link zu diesem Kommentar

Fast ;)

Freigabeberechtigungen gelten nur, wenn man via Redirector darauf zugreift, vom Netzwerk aus etwa. Damit wird überhaupt im Netzwerk verfügbar gemacht. Ob jemand darauf zugreifen darf, hängt jetzt nicht nur mit der Freigabeberechtigung zusammen, sondern auch mit der NTFS-Berechtigungen des Ordners, der freigegeben wurde. Und hier gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist das Dateisystem allerdingsw nicht NTFS, dann gilt nur die Freigabeberechtigung. Wird lokal auf den Ordner zugegriffen (beispielsweise man meldet sich am Terminalserver an, der auch Ordner freigegeben hat), dann gelten die Freigabeberechtigungen gar nicht, sondern nur die NTFS-Berechtigungen.

Was man also mit Dateien und Ordnern machen darf, auf die man über eine Freigabe zugreift hängt immer vom Dateisystem des freigebenden Rechner und von beiden Berechtigungen ab (wenn man nicht gerade mit \\<server> darauf zugreift, sondern mit dem Explorer).

Eine Verweigerung hat meistens Vorrang vor einer Erlaubnis, schau mal in meinem letzten Post, es gibt da eine Ausnahme (NTFS) ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...