Aladin033

vor 4 Minuten schrieb NorbertFe:

Nimm ihm die Rechte auf ntfs doch mal weg. Dann siehst du was er in der Freigabe machen kann. Nämlich nix.

 

zu deinem Problem. Welche Rechte gibts denn auf ntfs Ebene?

Richtig, sind die Rechte wieder weg, sieht er nur die Freigabe und das wars.

Eingetragen habe ich folgendes: icacls c:\Briefe /grant GG-H-Einkäufer:F

vor 3 Stunden schrieb NorbertFe:

Das kann man so sehen, aber wenn die ntfs rechte nicht stimmen, siehst du auch nix trotz Share. ;)

einfach mal mit der gui Ausprobieren, dann wird’s klarer.

Habe es eben mal umgesetzt mit Full.

Somit hat der Benutzer doch jetzt das Recht den Ordner zu sehen und zu bearbeiten.

Was mir dabei aber aufgefallen ist sind 2 Dinge.

1. Legt der Benutzer einen neuen Ordner an werden direkt 4 angelgegt. und diese lassen sich ohne Adminrechte nicht mehr löschen.

Ich dachte aber da er ja Full als Recht bekommen hat, darf er das?

vor 40 Minuten schrieb NorbertFe:

Wo ist denn da der Zusammenhang?

 

net Share erstellt freigabeberechtigungen. Icalcs vergibt ntfs Berechtigungen. Sieht man bspw. Hier:

 

https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/icacls

shareberechtigungen sind gegenüber ntfs Berechtigungen nachrangig. Wenn man also keine ntfs rechte auf eine date im c:\Briefe hat, kommt man da auch nicht über die Freigabe ran.

 

Heisst also mit Share darf ich auf den Ordner Briefe sehen mit icals dann weiter lesen oder bearbeiten. Richtig?

Moin zusammen,

ich habe eine Verständnisfrage.

Ich nutzte Windows Server 2019 ohne Updates da in einer VM.

mit net share kann ich soweit ich das richitg verstanden habe Freigaben für Gruppen erstellen richtig?

Heisst im Konkreten Beispiel das ich mit dem Befehl net share Briefe=C:\Briefe "/grant:GG-H-Einkäufer,FULL" habe ich den Ordner Briefe auf C für die Einkäufer komplett mit allen rechten Freigegeben.

Für was brauche ich jetzt noch die icals.exe?

Danke

Ich habe noch mal ne Frage..

ich versuche mit Grant-SmbShareAccess -Name "Buchhaltung-Debitoren" -AccountName -AccessRight Change die Freigabe anzulegen.

Ich habe aber wenn ich unter Buchhaltung-Debitoren schaue keinen AccountName im Editor.

Daher komme ich nicht weiter.

Evt. hat ja jemand Zeit und Lust sich mal via TeamViewer aufzuschalten und mir zu helfen...

vor 22 Stunden schrieb MurdocX:

 

Deine Frage ist nicht neu und wurde schon des Öfteren beantwortet. Schau Dir mal meine Antwort hier an:

 

Hallo @MurdocX ich finde da nichts was zu meinem Problem passt, evt habe ich es auch übersehen..

Ich muss noch mal was fragen.

Mit diesem Befehl hier vergebe ich doch nach dem Anlegen der Gruppen die Rechte:
Grant-SmbShareAccess -Name Temp -AccountName contoso\IT,contoso\HR -AccessRight Full

Name habe ich gefunden und eingetragen. Aber ich habe keinen AccountName...

Könnt ihr Literatur empfehlen wo man sich mal einlesen kann zum Thema Windows Server und Powershell?

Wo auch drin steht wie man dann die Berechtigungen aufbaut nachdem man z.b. ein SMB share erstellt hat?

vor 6 Stunden schrieb testperson:

Hi,

 

je nach Umgebung wäre eine einzige Freigabe bspw. "Shares" wo "Jeder" "Vollzugriff" hat noch ein Ansatz. In dieser Freigabe ist dann die Access Based Enumeration aktiv und die Ordner im Root (und ggfs. in erster Ebene) werden passenden mit NTFS Rechten berechtigt. Dann zusätzlich noch einen DFS Namespace und glücklich sein.

 

Gruß

Jan

Das wäre dann quasi eine SMB freigabe richitg?

Die Freigabe taucht auf dem Client auf, lässt sich aber nicht einbinden da so denke ich die Berechtigungen noch fehlen. :)

Ich glaube es war Schwachsinn eine Gruppe namens Buchhaltung zu erstellen und dort dann alle reinzupacken die mit Buchhaltung zu tun haben.

Ich denke es wäre schlauer jeweils eine Gruppe Kreditoren, Debitoren und Lohn zu erstellen oder?

Ja es wird in Gruppen umgesetzt.

So wie ich das verstanden habe ist die fehleranfälligkeit bei berechtigungen einzelner Nutzer viel zu hoch.

Daher immer in Gruppen.

Also ziel ist es am ende das die Admins auf alle Ordner voll zugriff haben.

Die Abteilunsleiter sollen in ihrer jeweiligen Abteilung vollzugriff haben.

Die Mitarbeiter nur in ihrem jeweiligen bereich.

Somit würde es ja Sinn machen das so aufzusplitten.

Moin zusammen,

ich habe auf meiner VM Win Server 2019 2 der als Memberserver fungiert eine Ordnerstruktur angelegt.

Bestehend aus

-Buchhaltung

-Einkauf

-Lager

Darin befinden sich je noch 3 Unterordner. Mehr soll man ja auch gar nicht machen.

Jetzt ist die frage wie ich das am besten freigebe.

Ich hatte gedacht ich gebe beispielsweise den Ordner Buchhaltung für die Gruppe Buchhaltung mit Leserechten frei.

Die jeweiligen Unterordner dann aber für die einzelnen Mitarbeiter mit Änderungsrechten. Ist das so möglich und macht das so Sinn?

Nur mit net share kann ich wohl nur den gesamten Ordner freigeben, nicht explizit bestimmte unterordner.

Was ich jetzt auch noch gesehen habe ist das es icals gibt.

Damit kann man Zugriffsberechtigungen setzten.

Schaue ich mir einen beispielhaften befehl an, hab ich den eindruck der macht das gleiche wie net share. Da gibts das ja auch mit read,change,Full.

Jetzt bin ich überfragt

Habe herausgefunden das er den SamAccountName akzeptiert da dieser eindeutig ist. Dieser kann ja nur einmalig vergeben werden. Somit ergibt das Sinn.

Identity war auch falsch. Da wollte er nicht den Gruppennamen der in der GUI als erstes angezeigt wird wenn man drauf klickt sondern den Gruppennamen der dann im weiteren Fenster zu sehen ist.

Habe es jetzt hinbekommen die Gruppen entsprechend anzulegen.

Jetzt versuche ich diese mit Mitgliedern zu füllen.

Dazu steht bei Microsoft man soll die Cmlet Add-ADGroupMember nutzen.

Also habe ich den Befehl wie folgt aufgebaut:

Add-ADGroup -Identity Buchhaltung -Members Peter Tasche

Dabei erscheint dann folgende Fehlermeldung

vor 35 Minuten schrieb NilsK:

Moin,

 

nein, das heißt es nicht. Ich denke, du solltest dich noch ein wenig mit den Grundlagen befassen, bevor du ans Einrichten gehst.

 

Active Directory hat mit Festplatten und auch mit dem Dateisystem nichts zu tun. Es handelt sich vereinfacht gesagt um eine Datenbank für Userkonten.

 

Was hast du denn eigentlich vor? Vielleicht können wir dir hilfreichere Tipps geben, wenn wir wissen, worum es bei deinen Aktivitäten geht.

 

Gruß, Nils

 

Also mein Server Win 2019-1 ist der Domaincontroller. Server 2 ist Memberserver.

Auf dem Memberserver möchte ich eine Ordnerstruktur erstellen und dann Berechtigungen nach dem A G dL P Prinzip erstellen.

Ich als Admin möchte grundsätzlich Vollzugriff auf alle Ordner behalten.

Die Mitarbeiter der jeweiligen Abteilungen sollen jeweils die Zugriffsberechtigung Ändern haben und die Abteilungsleiter Vollzugriff.

Wichtig wäre mir noch zu sagen das es sich hierbei um eine reine Simulation handelt.

Am 1.4.2022 um 12:02 schrieb NilsK:

Moin,

 

Kollegen - so schwer ist das doch nicht zu verstehen. Der TO hat auf Server 1 ein AD laufen, in dem er die Gruppen anlegt. Auf Server 2 ist eine Datenstruktur, in der diese Gruppen Berechtigungen bekommen sollen.

 

@Aladin033 die Gruppe, die Ordnerstruktur und die Zugriffsberechtigungen sind drei verschiedene Dinge.

 

• Du legst die Gruppe im AD an. Dein Kommando ist nicht ganz korrekt (der Path stimmt nicht, der muss mit OU= beginnen und die OU angeben, in der die Gruppe dann im AD liegen soll), passt aber prinzipiell dafür.
• Du legst die Ordnerstruktur für die Dateien auf dem künftigen Dateiserver an.
• Du erteilst in dem Ordner, auf den die Mitglieder der Gruppe zugreifen sollen, die Berechtigung für diese Gruppe. Das geht am einfachsten über den Explorer.

Gruß, Nils

 

Moin Nils,

sorry die späte Rückmeldung..

Das heisst die OU ist dann die 2. Festplatte richtig?

vor 9 Minuten schrieb cj_berlin:

Moin,

unabhängig von Deiner Frage: dass Du einen Domain Controller später NICHT von Eval in Voll konvertieren kannst, ist Dir bekannt?

 

Deine eigentliche Fragestellung ist unklar - was genau möchtest Du wo anlegen? Was möchtest Du auf der zweiten Festplatte speichern?

Fragen über Fragen...

Nein das war mir nicht bekannt.

Ich möchte die Gruppen die ich in PowerShell auf Server 2 anlege auch auf Server 2 auf einer separaten Festplatte speichern die ich angelegt habe.

Ich habe auf der Festplatte dazu eine kleine Ordnerstruktur angelegt, wo das dann rein soll.

Der Pfad wie ich in oben angegeben habe ist ja falsch. Denn ich kann ja nicht Peter Tasche anlegen und der Pfad dazu führt wieder zu Peter Tasche.

Hallo zusammen,

ich habe folgende ausgangssituation.

Ich habe 2 VM´s mit Windows Server 2019 Standard Evaluation aufgesetzt.

Auf Server 1 habe ich Active Directory laufen.

Nun möchte ich auf Server 2 mithilfe von Powershell Benutzer und Gruppen anlegen.

Ich habe dazu auf Server 2 eine 2. Festplatte angelegt wo ich das dann speichern möchte.

Jetzt wüsste ich gerne wie ich den pfad entspechend anpasse.

Hier mal mein Powershell Befehl:

New-ADGroup -Name "Einkauf" -SamAccountName "LG-H-Einkauf-VZ" -GroupCategory Security -GroupScope Global -DisplayName "Einkauf" -Path "CN=Peter-Tasche,DC=Deutschland,DC=Cag" -Description "Mitglieder der Gruppe sind Einkäufer"

Danke

Gruß

Aladin