Dateirechte kontra Freigaberecht

Hallo,

hier kommt meine nächste, etwas DAU-mässige Frage: Viele Szenarien bei der 210 sind ja a la:

Freigabe blubber hat Datei glibber. blubber hat für Gruppe bla die Freigabe lesen. glibber hat die Dateisicherheit Lesen, Schreiben, Ändern. Was darf man nun als Mitglied von bla mit der Datei glibber machen, wenn man diese über die Freigabe ausführt?

Lesen, oder? Kann man pauschal sagen, dass die Freigabesicherheit immer mehr als die Dateisicherheit gilt?

Und noch was? Wenn ich Änderungsberechtigung habe, darf ich die Datei auch löschen, oder?

Hab ichs geblickt oder bin ich auf dem Holzweg

Schöne Grüsse

Lars

Original geschrieben von b11ck

Kann man pauschal sagen, dass die Freigabesicherheit immer mehr als die Dateisicherheit gilt?

Genau umgekehrt, immer Dateirechte (NTFS-Rechte) vor Freigaberechte (Share-rechte). ;)

Merk Dir einfach, daß die physikalischen Rechte der Datei Vorrang haben.

Uups, Danke :)

Original geschrieben von Lian

Genau umgekehrt, immer Dateirechte (NTFS-Rechte) vor Freigaberechte (Share-rechte). ;)

Merk Dir einfach, daß die physikalischen Rechte der Datei Vorrang haben.

Hi Lian,

das hab ich jetzt verstanden. die Dateirechte werden vererbt oder manuel gesetzt.

wie ist es denn nun im umgekehrten fall:

das sharerecht lässt einen lesezugriff nicht zu, aber das dateirecht hat lesen, jeder usw...

bekomm ich jetzt die datei zu sehen, oder nicht? als Logiker sächte ich mal NE....

Bei der Kombination aus Freigabe- und NTFS-Berechtigungen, und nur dann, verhält essich so:

Die von beiden stärker einschränkende Berechtigung ist die wirksame (engl: the most restrictive permission)

Ich mache es meinen Teilnehmern immer an einem Beispiel klar:

Du gehst in die Stadtbücherei. Als erstes gehst du den Haupteingang, das entspricht der Freigabe(berechtigung) im Netzwerk. Am Eingang steht einer und sagt "Alle Stifte abgeben, hier drin ist nur lesen erlaubt". Drinnen am Bücherregal (NTFS-Berechtigung) steht dann ein Schild "Hier dürfen sie alles abschreiben. Dann kannst du sagen "Wie denn bitte, draussen hat mir einer alle Stifte abgenommen".

Anders herum: Draussen steht keiner und du läufst mit einem Trench-Coat voller Stifte rein (Freigabe Vollzugriff). Drinnen am Regal steht einer, der dir wieder alle Stifte abnimmt.

Die Essenz. Egal wo ich dir die Stifte abnehme, schreiben kannst du nicht.

grizzly999

Äääähhhhh, 'tschuldigung. Hab ich da was nicht ganz richtig verstanden?

Wenn wir von Freigabe- UND Dateien-/Ordnerberechtigungen sprechen, bedeutet das doch, dass man über Netz drauf zugreift. Weil wenn lokal, dann würden die Freigabeberechtigungen doch gar nicht greifen.

Und wenn das so ist ist der Grundsatz doch so, dass immer das einschränkendere der Beiden wirkt, oder nicht?

Gruß

Roland

@grizzly

Oh, da war ich wohl jetzt zu langsam beim posten ;)

Hey klasse. Das Beispiel wurde nun ganz offiziell von mir geklaut und wird garantiert im nächsten Kurs verwedet. Komm mir jetzt ja nicht mit Lizenzgebühren :D

Jo, meine Darlegung stimmt natürlich nur für die Annahme, dass ich über das Netzwerk zugreife.

Bei lokalem Zugriff greifen NUR die NTFS-Berechtigungen.

grizzly999

Original geschrieben von grizzly999

Jo, meine Darlegung stimmt natürlich nur für die Annahme, dass ich über das Netzwerk zugreife.

Bei lokalem Zugriff greifen NUR die NTFS-Berechtigungen.

 

 

grizzly999

Das ERgebniss ist das gleiche, so wie du dein beispiel gesagt hast.

Ist es aber technisch so, das wenn die freigabe ein völliges leseverbot hat, erst gar kein physikalischer zugriff auf die dateien möglich ist?

so langsam legt sich bei mir die verwirrung um diese elenden freigaben, die ich nie so richtig kapiert habe.

freigabe = Netzzugriff

NTFS = Netz als auch lokal

das bedeutet wohl aber wiederum:

user heiner hat über die freigabeberechtigung leseverbot für ordner "Geheime Daten"

in dem ordner haben alle daten keine einschränkung, weil der ordner in dem sie stehen, keine sicherheitsmerkmale von mir eingestellt bekommt.

jetzt kommt dieser user heiner, loggt sich heimlich am server ein (schlecht konfiguriert, user dürfen sich lokal anmelden, das habe ich als admin vergessen rauszutun usw...)

geht auf den ordner "Geheime Daten" und rippt sich alles vom Server...

Quintessenz:

Für was brauche ich die freigabeberechtigung überhaupt, gescheiter ist es doch, die jeweiligen ordner über die Sicherheitsrichtlinien zu konfigurieren.

dann kann ja nix mehr passieren, oder haben die freigaben für einen sinn?

Mit "völliges Leseverbot" meinst du vermutlich die Berechtigung "Kein Zugriff".

Aber du hast weitestgehend Recht, und deshalb war auch immer die Standardfreigabeberechtigung Jeder->Vollzugriff, denn Microsoft geht davon aus, dass man die tatsächlichen Berechtigungen mit NTFS setzt.

Aber was macht der, der kein NTFS drauf hat (aus welchem Grunde auch immer). DANN habe ich doch wenigstens ein bischen die Möglichkeit Zugriff aus dem Netz auf diesen Ordner zu steuern, wenn auch grobschlächtig. Im Prinzip sind Greigabeberechtigungen ein Überbleibsel aus W9X-Zeiten und ein Zugeständnis an FAT-Nutzer.

grizzly999

Hallo!

Da hab ich ja einen richtig schönen Thread ausgelöst und die Frage beschäftigt tatsächlich auch die alten Hasen und war von daher wohl nicht ganz so ****e wie ich zuerst dachte.

Darf ich das für mich jetzt so zusammen fassen:

a) Bei Kombination von Share- und NTFS-Rechten ist die von beiden stärker einschränkende Berechtigung die wirksame

b) Am sinnvollsten setzt man die Freigaberechte über NTFS-Rechte auf (deshalb war auch immer die Standardfreigabeberechtigung Jeder->Vollzugriff)

c) Bei lokalem Zugriff greifen NUR die NTFS-Berechtigungen.

@grizzly999: Klasse Beispiel, werde es mir für meine Wissenssammlung ebenfalls hiermit offiziell klauen.

@admin: Habt Ihr da so ein Antibeschimpfungsfilter drin? Warum sind denn die Sternchen da drin? Ich meinte doch mich selber :-)

Ja, so wie du es zusammengefasst hast, ist es korrekt bis auf den Satz hier, der nicht ganz richtig ausgedrückt ist, aber du meinst das Richtiger:

[shlaumeierei ON]"Am sinnvollsten setzt man die Freigaberechte über NTFS-Rechte auf" -> Freigaberechte setzt man nicht über NTFS-Rechte auf. Das sind zwei Paar unterschiedliche Stiefel Besser: Berechtigungen auf Datei- und Ordnerressourcen, die aus dem Netz erreichbar sind, ....... [schlaumeierei OFF] ;)

Habt Ihr da so ein Antibeschimpfungsfilter drin? Warum sind denn die Sternchen da drin? Ich meinte doch mich selber :-)

Yep, da ist ein Antibeschimpfungsfilter drin (nettes Wort :D ), der arbeitet ganz selbständig, sonst hätten wir MODs manchmal sähr viel zu tun ... :rolleyes:

Gruß

grizzly999

Hi,

um die Verwirrung zu komplettieren... ;)

Nein, im Ernst. Meine Aussage "NTFS Rechte sind die stärkeren" bezieht sich auf die Dateirechte als letzte Barriere vor dem Zugriff.

Ich stelle mir das wie in einer Disco mit 2 Türstehern vor, der eine (Erkan Freigabe) lässt mich durch, der zweite weiter innen (Stefan Dateirechte) sagt: Du kommst hier net 'rein.

Das nur als Beispiel. ;)

Ansonsten FULL ACK zu b11ck's Aussagen a) und c)

Darf ich das für mich jetzt so zusammen fassen:

a) Bei Kombination von Share- und NTFS-Rechten ist die von beiden stärker einschränkende Berechtigung die wirksame

b) Am sinnvollsten setzt man Zugriffsrechte über NTFS-Rechte und nicht über Freigabrechte auf (deshalb war auch immer die Standardfreigabeberechtigung Jeder->Vollzugriff)

c) Bei lokalem Zugriff greifen NUR die NTFS-Berechtigungen

Jetzt hammers, oder?

Gruß

LS

Okay, mcseboard sei dank, hab ich nun endlich etwas verstanden, was mir seit anbegin der Windowszeit ein rätsel blieb.

Ich habe ein kleines Server Client system mit wk2 server und wk2 clients.

ich setzte über die OU´s die Berechtigungen über z.Bsp. die jeweiligen Mitlgliedschaften. Hauptbenutzer, Gast, Admin usw...

wenn es da besonderheiten gibt z.bsp. meiner meinung nach Freunde 1.Klasse und Freunde 2.Klasse dann mache ich unterschiedliche OU´s mit unterschiedlichen Rechten und stelle dann zum Bsp. Die Freunde 1. Klasse in die ou die mehr rechte von mir hat und die 2. klasse freunde in die ou mit weniger rechten.

jetzt hat das share zwar das recht jeder, aber nur freunde 1.klasse haben die rechte, die ich ihnen vergeben habe, sofern der zugriff auf einen ordner geht, der per vererbung rechte aus den ou´s bekommt. stelle ich die vererbung in z.bsp. einem globalen ordner ab und ändere die händisch auf z.bsp. jeder, dann können auch die gäste auf diesen ordner zugreifen, richtig?

soweit, so gut.

Jetzt gibt es ja ZUGRIFFSRECHTE und SICHERHEITSRECHTE...die werfe ich auch noch regelmässig durcheinander, weil sie einerseits ja fast das gleiche sind, aber doch anders (über die DC Policy z.Bsp. kann ich ja SICHERHEITSRICHTLINIEN definieren, die die OU Richtlinien überschreiben. Die haben dann das stärkste recht.

Jetzt habe ich im 210er Buch (glaube ich) gelesen, das es bei den erlaubnissen um die stärkste erlaubnis geht, aber bei den sicherheitsrichtlinien um die stärkste Einschränkung.

Mit den OU regle ich die berechtigung, mit den sicherheitseinstellungen die einschränkung. das bedeutet, ein user, der lt. ou hauptbenutzer ist und admin, erhält zugriffsverbot auf eine datei, die NUR für ADMIN über die sicherheitsrichtlinie des ordners oder der datei geregelt ist, hab ich das verstanden?????

bye the way....was sind eigentlich die ÜBERWACHUNGSRICHTLINIEN??????

was für ein recht verhindert das löschen von Ordner, obwohl ich ADMIN der Domäne bin?????

z.Bsp.

DO_NOT_REMOVE_NtFrs_PreInstall_Directory

ist unlöschbar, nachdem ich ihn auf ein laufwerk kopiert habe...

es muss also noch versteckte rechte geben, denn ich habe schon alles versucht, dieser ordner lässt sich nicht killen...