Dynadrate 10 Geschrieben 7. April 2008 Melden Teilen Geschrieben 7. April 2008 Hallo erstmal! Bin gerade dabei, Novell Netzlaufwerke auf einen Windows 2003 Server um zu stellen. Ich hab einen DFS Stamm eingerichtet, Access Based Enumeration installiert. Soweit läuft alles wie erwartet. Nun habe ich ein Problem: In manchen Abteilungen werden Dateien erstellt, die andere Abteilungen auch nutzen müssen, z.B. werden in der Abteilung Werbung Preislisten erstellt. Das sieht dann in der Verzeichnisstruktur etwa so aus: Werbung->Vorlagen->GER->Preislisten->2008->(diverse Dateien) (in den Verzeichnisse GER, Preislisten befinden sich noch weiter Verzeichnisse und Dateien) Leute aus externen Abteilungen benötigen nun lesenden Zugriff auf das Verzeichnis "2008". In Novell ist es möglich, Benutzern ausschließlich auf dieses Verzeichnis Rechte zu geben. Dann können sich diese Benutzer zu dem Verzeichnis durchklicken, ohne den Inhalt auf die anderen Verzeichnisse zu sehen. Wie kann ich das mit einem 2003 Server erreichen? Danke! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. April 2008 Melden Teilen Geschrieben 7. April 2008 Genau gleich - du musst einfach den vollen UNC Pfad bis zum jeweiligen Ordner dem User mitgeben. Mit Durchklicken geht das nicht, da müssen Sie schon mindestens lesend auf die Parent Folders zugreifen können. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. April 2008 Melden Teilen Geschrieben 7. April 2008 "Ordnerinhalt auflisten" würde reichen ... ;) Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. April 2008 Melden Teilen Geschrieben 7. April 2008 "Ordnerinhalt auflisten" würde reichen ... ;) Na ja, dann sieht man doch die Dateien AFAIK. Nur lesend öffnen kann man sie nicht. Womöglich schon zu viel... Zitieren Link zu diesem Kommentar
Dynadrate 10 Geschrieben 7. April 2008 Autor Melden Teilen Geschrieben 7. April 2008 Na ja, dann sieht man doch die Dateien AFAIK. Nur lesend öffnen kann man sie nicht. Womöglich schon zu viel... Die externen User sollen die Dateien und Ordner, auf die sie keine Leserechte haben nicht sehen können. Leider kann ich den Usern nicht zumuten, den vollen Pfad zu kennen, da die Pfade teilwese sehr lang sind. Ich hatte gehofft das das irgendwie möglich ist, da das Fehlen eines solchen Feature die lang ersehnte Migration auf Microsoft möglicherweise verhindern könnte. Ich hatte gedacht, dass mit der ABE nun das letzte wichtige Feature nachgeholt wurde... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 7. April 2008 Melden Teilen Geschrieben 7. April 2008 Sehen können sie sie zwar, aber nicht ausführen ... Eventuell auch einen Buchstaben per Script mappen ... Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 8. April 2008 Melden Teilen Geschrieben 8. April 2008 das problem kenn ich, da wir selbst gerade von novell file server auf w2k3 migrieren. du könntest entweder per ABE alles auflisten lassn, dann können die user durchbrowsen... du könntest aber auch eine neue freigabe erstellen und diese per netzlaufwerk bereitstellen oder einen DFS Link erstellen, dann können die user so auf einen leicht-zu-merkenden namen zugreifen. falls du dich noch nicht wirklich mit NTFS berechtigungen beschäftigt hast, würd ich mir das auf jeden fall nochmal genau anschauen. bei uns gab es da oft missverständnisse oder irrglauben bezüglich den filerechten, da ist zu novell schon einiges anders. besonders an die "vererbung" muss man sich erst mal gewöhnen...die funktioniert ja komplett anders als bei novell. ps: also wenn du mich fragst ist es echt schade, dass so viele firmen weg von novell file servern gehen...so ein NSS Volume ist schon etwas schönes :D Zitieren Link zu diesem Kommentar
Dynadrate 10 Geschrieben 8. April 2008 Autor Melden Teilen Geschrieben 8. April 2008 Wir migrieren, weil wir für Vista Zenworks upgraden müssten. Ist also ne Kostenfrage. Ich komme mehr aus der Windows als der Novell Ecke, daher kenn ich mich mit NTFS schon ganz gut aus. Wir haben etwa 40 Verzeichnisse, deren Inhalt auch für andere Abteilungen zur Verfügung stehen muss. Deshalb scheidet eine Freigabe dieser Verzeichnisse aus. Das praktikabelste scheint mit wirklich zu sein, einen neuen Stamm (z.b. "collaboration") zu erzeugen und darin Links an zu legen. Leider bedeutet das eine deutliche Verkomplizierung der Administration. Mit Novell ist es ja möglich, einer Gruppe Rechte auf einen tief liegendes Verzeichnis zu geben, sodass sich die Gruppe der User dann durchklicken kann. So wie ich das sehe, ist die Kombination von DFS, ABE und NTFS ja ganz nett, aber leider wurden speziell DFS und ABE nicht eng genug zusammen gearbeitet. Das sieht man ja daran, das man für die "Ghost Folder" (oder wie man die nennen mag, ich meine die Verzeichnisse in einer DFS Root, die erstellt werden wenn man einen Link darin erzeugt) manuell mit cacls angepasst werden müssen. Wollen wir hoffen, dass das mit Server 2008 nochmal überarbeitet wurde. Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 8. April 2008 Melden Teilen Geschrieben 8. April 2008 ich glaub bezüglich DFS hat sich beim 2008er server nur bei der replikation etwas verändert: Microsoft Corporation Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 8. April 2008 Melden Teilen Geschrieben 8. April 2008 Wie wärs mit einem DFS Link auf \\server\share\path\to\folder? Nicht gerade elegant, könnte dir aber helfen... Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 8. April 2008 Melden Teilen Geschrieben 8. April 2008 Hallo Dynadrate, Das sieht man ja daran, das man für die "Ghost Folder" (oder wie man die nennen mag, ich meine die Verzeichnisse in einer DFS Root, die erstellt werden wenn man einen Link darin erzeugt) manuell mit cacls angepasst werden müssen. Wie meinst Du das? Im Normalfall werden die Berechtigungen auf dieser Ebene mittels Share-Permisions festgelegt, d.h. die NTFS Permissions bräuchten nicht angepaßt werden. Darunter liegen dann die entsprechenden Ziele, die eine Kombination aus Share- und NTFS Permissions nutzen - wie normale Freigaben auch. Oder verstehe ich Deine Aussage falsch? ich glaub bezüglich DFS hat sich beim 2008er server nur bei der replikation etwas verändert Na ja, ganz so einfach ist das nicht. ;) Es hat sich schon einiges in Bezug auf DFS-N verändert, so z.B. die Speicherung der pKTInfos in der AD, es hat sich im Zusammenspiel von Vista und Windows Server 2008 viel Gutes getan, wenn es um das Failover / Failback bei ausgefallenen Targets geht (und damit das Umschwenken von File-Locks auf geöffneten Dateien etc.), es wurden diverse Limits aufgehoben und einiges mehr. Viele Grüße olc Zitieren Link zu diesem Kommentar
Dynadrate 10 Geschrieben 14. April 2008 Autor Melden Teilen Geschrieben 14. April 2008 Wie meinst Du das? Im Normalfall werden die Berechtigungen auf dieser Ebene mittels Share-Permisions festgelegt, d.h. die NTFS Permissions bräuchten nicht angepaßt werden. Darunter liegen dann die entsprechenden Ziele, die eine Kombination aus Share- und NTFS Permissions nutzen - wie normale Freigaben auch. Oder verstehe ich Deine Aussage falsch? Man muss nur dann die Berechtigungen Ghost Folder mit cacls bearbeiten, wenn man ABE einsetzten möchte. Cacls weil man die Berechtigungen nicht über den explorer setzen kann. Zur Info: Ich habe die Berechtigungen der DFS Root Auf Jeder mit "Ändern" (nur für diesen Ordner, d.h. es wird nicht durchgeerbt) gesetzt, damit die Leute nur die DFS Links sehen, auf die Sie auch Rechte haben. Nun stoße ich auf ein neues Problem: Ich habs jetzt so eingerichtet das beispielsweise auf S: alle Abteilungsordner abgelegt sind. Auf T: wird die DFS Root verbunden, wo die Links auf Verzeichnisse angelegt sind, wo mehrere externe Leute Zugriff haben sollen. Wenn nun ein Benutzer über T: eine Datei so verändert, dass sie auf eine Datei verlinkt die wiederum auf Laufwerk T: liegt, haben die User der "Ursprungsabteilung" die über Laufwerk S: zugreifen ein Problem: Sie haben keinen Zugriff! Also müssten alle User des Laufwerk S: auch die Berechtigungen auf die Links in Laufwerk T: bekommen. Das hat dann zur Folge, dass die Benutzer doppelt Zugriff haben. Kommt es mir nur so vor, weil ich was Fileshares an geht durch Novell verwöhnt bin (was ich bislang ganz anders eingeschätzt hatte) oder ist ein Microsoft Fileserver wirklich dermaßen Administrationsaufwendig? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 31. Juli 2008 Melden Teilen Geschrieben 31. Juli 2008 "Ordnerinhalt auflisten" würde reichen ... ;) Ich weiß, der Thread ist schon ein paar Monate alt... Aber aus gegebenem Anlass, kann ich ergänzen, dass das in Verbindung mit Access Based Enumeration nicht ausreicht. Man braucht zusätzlich noch Read Attributes, Read Extended Attributes und Read Permissions. Ich hatte heute selbst den Fall, wo ein User sich zu einem Unterverzeichnis "durchhangeln" musste. Auf dem Share war ABE aktiviert, aber die erwähnten 3 Leseberechtigungen nicht vergeben. Ergebnis war, dass der User die übergeordneten Ordner nicht sehen konnte, obwohl "Traverse Folder ..." und "List Folder ..." Berechtigungen vorhanden waren. Nachdem ich auf den entsprechenden Ordnern die 3 Rechte vergeben hatte, klappte es auch mit dem anzeigen der zu "durchquerenden" Ordner. Dass die User eventuell zuviele Dateien sehen, kann man verhindern, in dem man die Rechte explizit auf diesen Ordnern mit Scope "This folder only" gibt und nicht vererben lässt. Das macht das ganze natürlich in einer großen Ordnerstruktur ziemlich aufwändig.... Christoph Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 Hey Christoph, ich glaube, da hast Du was missverstanden. "Ordnerinhalt auflisten" reicht aus. "Ordnerinhalt auflisten" ist eine reine Ordnerberechtigung, was man nach Anwendung daran sehen kann, dass es nur für "Diesen Ordner, Unterordner" gesetzt wird, sich also nicht auf Dateien auswirkt. In dieser Berechtigung werden auch die speziellen Berechtigungen gesetzt, von denen Du gesprochen hast. Ich habe nicht von der alleinigen Anwendung der speziellen Berechtigung "Ordnerinhalt auflisten/Daten lesen" gesprochen. Gruss Sven Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 1. August 2008 Melden Teilen Geschrieben 1. August 2008 OK, dann habe ich Dich da missverstanden. Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.