Jump to content

Freigabe- oder Sicherheitsberechtigung - wer gibt den Ton an?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

ich erstelle als Beispiel auf dem DC SBS 2003 Domäne eine Netzfreigabe, dort gebe ich unter Freigabe dem User "Jeder" nur die Anzeige-Berechtigung und in den Sicherheitseinstellungen der Sicherheitsgruppe "Büro" Vollzugriff.

 

Der User "Maier" ist Domain Power User und befindet sich in der Gruppe "Büro". Theoretisch müsste er doch über die Netzwerkumgebung in der Freigabe Dateien öffnen, bearbeiten und löschen können.

 

Wenn ich mich nicht irre zieht doch immer die "höhere" Berechtigung entweder in der Freigabe oder in den Sicherheitseinstellungen. Bin ich da so verkehrt?

 

Der User erhält keinen Zugriff auf die Freigabe und kann keine Daten editieren. Doofer Newbie-Fehler, aber wo liegt der Fehler?

Link to comment
Hallo,

 

ich erstelle als Beispiel auf dem DC SBS 2003 Domäne eine Netzfreigabe, dort gebe ich unter Freigabe dem User "Jeder" nur die Anzeige-Berechtigung und in den Sicherheitseinstellungen der Sicherheitsgruppe "Büro" Vollzugriff.

 

Der User "Maier" ist Domain Power User und befindet sich in der Gruppe "Büro". Theoretisch müsste er doch über die Netzwerkumgebung in der Freigabe Dateien öffnen, bearbeiten und löschen können.

 

Wenn ich mich nicht irre zieht doch immer die "höhere" Berechtigung entweder in der Freigabe oder in den Sicherheitseinstellungen. Bin ich da so verkehrt?

 

Der User erhält keinen Zugriff auf die Freigabe und kann keine Daten editieren. Doofer Newbie-Fehler, aber wo liegt der Fehler?

Es zieht immer die restriktivere Berechtigung von Beiden (Freigabe - NTFS);)

 

grizzly999

Link to comment

D.h. die Sicherheitseinstellungen sind für eine Freigabe nebensächlich - sprich ich regle die Zugriffsberechtigung ausschließlich über die Freigabeberechtigung?

 

Da "Jeder" der Gruppe "Büro" übergeordnet ist, funktioniert der Zugriff nicht - richtig?

Wie realisiert man es dann das wirklich nur Büro Zugriff darauf hat?

 

Einfach nur für Büro freigeben?

Link to comment

Nein, die Freigabeberechtigung und NTFS Berechtigungen zählen schon zusammen. Nur das niedrigste Recht wird angewendet.

 

Am einfachsten machst du (wie ich oben schon geschrieben habe) die Freigabeberechtigung auf: Jeder -> Vollzugriff

Dann kannst du mit den NTFS Rechten feiner arbeiten.

Also bei dir dann Büro -> Vollzugriff

Link to comment

Hallo!

 

Ich sag nur implizit und explizit!

 

In deinen Fall gibst du in der Freigabeberechtigung der Gruppe "Jeder" keinen Haken - implizit verweigern. Dann fügst du die Gruppe Büro hinzu und gibst dieser das Recht Vollzugriff erlauben - explizit erlaubt.

 

In den NTFS-Berechtigungen kannst du alle Standardberechtigungen (Ersteller-Besitzer usw.) lassen oder bis auf System alle entfernen. Je nachdem wie restriktiv die Zugriffe erlaubt / verweigert werden sollen. Auf jeden fügst du die Gruppe "Büro" hinzu und erteilst dieser das Recht Ändern - Zulassen. Damit können die Mitglieder dieser Gruppe alles machen außer die Berechtigungen ändern. Allerdings solltest du dann auch Mitglied der Gruppe Büro sein, sonst hast du keinen Zugriff mehr. Wenn du ERSTELLER-BESITZER und Benutzer drin gelassen hast, kann auch jeder nur seine Dateien ändern und löschen.

 

Grüße

 

Kegol

Link to comment
D.h. die Sicherheitseinstellungen sind für eine Freigabe nebensächlich - sprich ich regle die Zugriffsberechtigung ausschließlich über die Freigabeberechtigung?

 

Da "Jeder" der Gruppe "Büro" übergeordnet ist, funktioniert der Zugriff nicht - richtig?

Wie realisiert man es dann das wirklich nur Büro Zugriff darauf hat?

 

Einfach nur für Büro freigeben?

 

Nein, eigentlich andersrum: Wie ducke bereits geschrieben hat, Freigabe: Jeder Vollzugriff und über die NTFS-Berechtigungen dann die eigentlichen Rechte.

Die restriktiveren Rechte beziehen sich auf Freigabe/NTFS-Berechtigung. Wenn ein User in mehreren Gruppen (Jeder und Büro) ist, gelten die höheren Rechte, es sein denn es gibt eine explizite Verweigerung!

Link to comment

Wenn die Freigabe auf Vollzugriff steht und die NTFS-Berechtigung auf Ändern, dann kann jeder Benutzer die Berechtigungen aller Dateien ändern, die er erstellt hat (er ist der Besitzer). Steht die Freigabe allerdings nur auf Ändern, kann er das selbst als Besitzer nicht (wenn er nicht gleichzeitig Administrator ist) ...

Im Übrigen ist das Entfernen aller Haken auch kein implizites Verweigern, diese Gruppe wird einfach nur nicht berücksichtigt ...

Link to comment
Nein, die Freigabeberechtigung und NTFS Berechtigungen zählen schon zusammen. Nur das niedrigste Recht wird angewendet.

 

Am einfachsten machst du (wie ich oben schon geschrieben habe) die Freigabeberechtigung auf: Jeder -> Vollzugriff

Dann kannst du mit den NTFS Rechten feiner arbeiten.

Also bei dir dann Büro -> Vollzugriff

 

Also wenn ich jetzt dem User "Jeder" in der Freigabe "Vollzugriff" erteile und anschließend in den Sicherheitseinstellungen den Zugriff "Verweiger" und der Gruppe "Büro" Vollzugriff erlaube - haut es hin?

 

Fraglich ist doch dann weshalb muss ich in der Freigabe "Jeder" überhaupt Vollzugriff geben wenn ich den Zugriff im Prinzip verbieten möchte.

Link to comment

Dann hat niemand mehr Zugriff, da eine Verweigerung VOR einer Gewährung erfolgt. Erzeuge eine Gruppe, in der sich alle Benutzer befinden, die zugreifen sollen und berechtige sie auf Freigabe- wie auf NTFS-Ebene. Dann können nur die zugreifen, die sollen. Den gleichen Effekt erzielst Du aber auch, wenn Du auf Freigabeebene Jeder benutzt und auf NTFS-Ebene diese spezielle Gruppe (und auch umgekehrt), der erste Vorschlag ist aber sauberer ...

- Berechtigungen sind kumulativ. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A hat Lesen und Gruppe B hat Ändern, hat er effektiv ändern.

- Verweigerungen sind vorrangig. Ist ein User Mitglied in Gruppe A und Gruppe B, Gruppe A wird Lesen verweigert und Gruppe B hat Vollzugriff, wird er verweigert.

- Im Zusammenspiel von Freigabe- und NTFS-Berechtigungen gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist in der Freigabe Jeder - Vollzugriff definiert und im NTFS-Ordner (der freigegeben wurde) Jeder - Lesen, darf nur gelesen werden (restriktiver als Vollzugriff)

- Ein explizites Erlauben überschreibt ein geerbtes Verweigern. Ist auf höherer Ebene für eine Gruppe der Zugriff verweigert worden und wird diese Verweigerung nacht unten veerbt und hake ich irgendwo weiter unten ein Erlauben für diese Gruppe an, darf sie ab dort zugreifen ...

Link to comment

Ok, glaub soweit verstanden.

 

Also jetzt nocheinmal um sicher zu gehen, dass ich es korrekt verstanden habe. Die Sicherheitseinstellungen laufen auf NTFS Ebene und regeln den Zugriff auf Daten / Ordner. Über die Freigabe wird der Ordner dann zunächsteinmal überhaupt im Netz veröffentlicht. Dort kann ich bereits einschränken wer überhaupt auf die Freigabe zugreifen darf, dies hat mit lokal absolut nichts zu tun.

Die Sicherheitseinstellungen sind dagegen massgeblich verantwortlich wer was mit den Daten machen darf - sowohl lokal als auch im Netz.

Zudem hat eine Verweigerung immer Vorrang vor einer Erlaubnis.

 

Bestanden? :)

Link to comment

Fast ;)

Freigabeberechtigungen gelten nur, wenn man via Redirector darauf zugreift, vom Netzwerk aus etwa. Damit wird überhaupt im Netzwerk verfügbar gemacht. Ob jemand darauf zugreifen darf, hängt jetzt nicht nur mit der Freigabeberechtigung zusammen, sondern auch mit der NTFS-Berechtigungen des Ordners, der freigegeben wurde. Und hier gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist. Ist das Dateisystem allerdingsw nicht NTFS, dann gilt nur die Freigabeberechtigung. Wird lokal auf den Ordner zugegriffen (beispielsweise man meldet sich am Terminalserver an, der auch Ordner freigegeben hat), dann gelten die Freigabeberechtigungen gar nicht, sondern nur die NTFS-Berechtigungen.

Was man also mit Dateien und Ordnern machen darf, auf die man über eine Freigabe zugreift hängt immer vom Dateisystem des freigebenden Rechner und von beiden Berechtigungen ab (wenn man nicht gerade mit \\<server> darauf zugreift, sondern mit dem Explorer).

Eine Verweigerung hat meistens Vorrang vor einer Erlaubnis, schau mal in meinem letzten Post, es gibt da eine Ausnahme (NTFS) ...

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...