Verständnisfrage in Sachen Freigabe und Berechtigungen

[fummler 10]

Guten Morgen,

 

wir haben eine Domäne mit 2 DC.

Auf dem Datenserver (Erster DC) ist folgendes eingerichtet:

1. C:\ Zugriff nur für den Administrator

2. D:\

D: nicht freigegeben, Admin: Vollzugriff, Benutzer Domäne: Lesen/ausführen, auflisten und lesen.

 

Wenn ich jetzt einen neuen Ordner anlege und die Benutzer der Domäne keinen Zugriff haben sollen, dann kann ich das mit dem Verweigerungsrecht erzielen, oder?

Wenn ich dann das mache und den Ordner für 2 Domänenbenutzer frei gebe und denen die Berechtigung Vollzugriff erteile, dann sehe ich

bei den Effektiven bErechtiungen allerdings alles ausgegraut.

Wo ist mein Denkfehler?

Gruß fummler

[phoenixcp 10]

Das Problem ist, das Deny vor Allow zieht. Du müsstest die Berechtigungen für deinen Domänenbenutzer entfernen und nicht explizit verweigern. Danach dann eine Gruppe einrichten und entsprechend auf den Ordner berechtigen. Deine beiden Benutzer packst du dann in die Gruppe. Man berechtigt nicht (mehr?) direkt an Benutzer.

 

Gruß

[fummler 10]

Hi,

danke mal für die schnelle Antwort.

Ich habe mal einige Einstellungen versucht. Es ist tatsächlich das Problem, dass auf das Volume bereits die genannten Berechtigungen sitzen.

Derjenige der das mal gemacht hat, hätte lediglich auf die darunter liegenden Verzeichnisse Rechte vergeben sollen, dann wäre es jetzt einfacher.

Jedenfalls ist es so, dass ich beim Verweigern des Vollzugriffs bei den Benutzern auch dafür sorge, dass selbst die explizit mit Vollzugriff ausgestatten zwei Benutzer nichs mehr machen dürfen.

Danke für die Erklärungen.

Ich werde das mal mit der GF durchsprechen und so wie jetzt gerade angesprochen vorgehen. Zwar viel Arbeit weil da einiges umgebogen werden muss, aber irgendwann hat mal einer auf die Buchhaltung Zugriff der da nichs zu suchen hat.

fummler

[Kweldulf 10]

Hi Fummler,

 

=) netter Name.

 

Also du könntest einfach die Standardberechtigungen lassen.

 

Da deine Domänebenutzer keine Adminrechte oder Benutzerrechte auf dem DC haben dürfen sie normal auch nicht auf diese Ordner.

 

Wenn du keine Freigabe vergibbst dürfen sie über das Netzwerk sowieso nicht drauf.

 

Ah Edit zu langsam gepostet:

 

Wenn das so ist kannst du doch Ordner\Abteilungsordner machen..

 

Dann legste einfach im AD Gruppen für diese Ordner an und vergibbst die dementsprechenden berechtigungen und dann fügste einfach den Ordnergruppen die Gruppen der User hinzu z.b. Gruppe Buchhaltung..

Das ganze ist einmalig aufwand und lässt sich hinterher einfach Pflegen.

 

Kannst ja auch parallel aufsetzen und später dann einfach die bestehenden Rechte entfernen.

Musst halt nur aufpassen das die neuen Gruppen die du anlegst erst nach dem Ab und Anmelden ziehen.

[fummler 10]

Hi Fummler,

 

=) netter Name.

 

aber Deiner ist auch nicht schlecht.

kommt bei mir davon, dass ich das halt nicht gelernt habe. Einzig ein paar Bücher hat mir mein Boss hingeknallt.

Wenn ich mir die Rechte ansehe, dann dürfen die Domänenbenutzer zumindest auflisten, ausführen usw., wenn auch nicht löschen.

Die Freigaben müssen leider sein, weil sonst die Software die dafür angeschafft wurde nicht korekt arbeiten.

Die beiden freigegebenen Benutzer brauchen das als Mapping und ich glaube das geht nicht, wenn keine freigabe dafür besteht?

fummler

[fummler 10]

Hi Kweldulf,

jetzt war ich wieder zu schnell.

Ich sehe mir den Vorschlag mal an und gebe dann wieder Bescheidö.

Danke.

fummler

[fummler 10]

Hi Kweldulf,

 

ich denke das Ganze jetzt mal vorher durch.

 

Im AD angelegt Gruppe Buchhaltung

Die beiden Benutzer zugefügt.

Dann ein Verzeichnis erstellt.

Jetzt kann ich aber diesem Verzeichnis die Gruppe

Domänenbenutzer nicht entziehen, weil vererbbare Rechte ziehen.

Ich gebe der Buchhaltung Rechte mit Vollzugriff.

Ändert sich dann überhaupt etwas?

fummler

[Kweldulf 10]

Wo kommen den die vererbbaren Berechtigungen her?

Wurden diese direkt auf Laufwerk D vergeben?

Vom Prinzip her kannst du auf dem ordner Rechtklick-> Eigenschaften-> Sicherheit->erweitert->Haken raus bei "Berechtigungen übergeordenter objekte auf untergeordnete objekte , sofern anwendbar, vererben"

 

Haken rein bei "berechtigungen für alle untergeordneten objekte durch die angezeigetn Einträge, sofern anwendbar , ersetzten"

 

Probier das aber erst mal an einem Testordner aus..

 

Du solltest auch die Laufwerksberechtigungen auf Standard zurück setzen und nur unten dran an die einzelnen ordner die berechtigungen für die Gruppen vergeben.

 

Im normalfall macht man das nur mit den Ntfs Berechtigungen und auf der Freigabe gibt man für Jeder Vollzugriff damit musst du die Berechtigungen nur an einem Punkt Pflegen.

 

Der Vorteil an Gruppen ist das du im AD neue Usere einfach in die Gruppe aufnimmst und sie dürfen dann auch aufs Laufwerk.

 

Ein paar Gedanken machen vorher wie du das mit den Berechtigungen aufbaust ist eine Gute Idee.

[fummler 10]

Wo kommen den die vererbbaren Berechtigungen her?

Wurden diese direkt auf Laufwerk D vergeben?

Genau so ist es.:shock:

 

Vom Prinzip her kannst du auf dem ordner Rechtklick-> Eigenschaften-> Sicherheit->erweitert->Haken raus bei "Berechtigungen übergeordenter objekte auf untergeordnete objekte , sofern anwendbar, vererben"

 

Haken rein bei "berechtigungen für alle untergeordneten objekte durch die angezeigetn Einträge, sofern anwendbar , ersetzten"

Genau das hatte ich schon einmal gemacht. Danach waren alle Berechtigungen, auch auf dem Volume, nicht mehr vorhanden. ANGST!! Deshalb nicht mehr gemacht, weil auf dem Ding die Produktion läuft und alles was wir machen ist Termingeschäft.

 

Du solltest auch die Laufwerksberechtigungen auf Standard zurück setzen und nur unten dran an die einzelnen ordner die berechtigungen für die Gruppen vergeben.

Das habe ich ebnen mit dem Boss besprochen. In 14 Tagen sind Betriebsferien und ich bin noch ein paar Tage im Unternehmen. Da nehme ich das in Angriff.

 

Der Vorteil an Gruppen ist das du im AD neue Usere einfach in die Gruppe aufnimmst und sie dürfen dann auch aufs Laufwerk.

Die Sache ist halt so: am Anfang war da noch nicht viel drauf, 2 Proggis und auf die hatte jeder Zugriff.

Dann wurde innerhalb von 3 Jahren immer mehr, Firma wuchs von 15 Leute auf 40 und eine Wucherung an Software fand statt, jedoch wurde das nicht begleitet indem man auch die Vergabe- und Rechtestruktur angepasst hat.

Jetzt ist es halt so und es wird etwas Arbeit, bis das klappt. So Gott will.

Danke für die Hilfe, die mich in der Vorgehensweise bestätigt hat.

fummler

[Kweldulf 10]

Die Sache ist halt so: am Anfang war da noch nicht viel drauf, 2 Proggis und auf die hatte jeder Zugriff.

Dann wurde innerhalb von 3 Jahren immer mehr, Firma wuchs von 15 Leute auf 40 und eine Wucherung an Software fand statt, jedoch wurde das nicht begleitet indem man auch die Vergabe- und Rechtestruktur angepasst hat.

 

Mh das ist in den meisten fällen so war bei mir in der Firma das gleiche Problem..

 

Dann wünsch ich dir mal gutes gelingen.

 

Gruss

 

kweldulf

[fummler 10]

Hi Kwedulf,

habe das so gelöst, nachdem ich etwas an einer VM Installation probiert habe:

 

Auf dem Ordner habe ich einfach den Haken "Berechtigungen übergeordnete Oblekte....." entfernt, dann waren die Berechtigungen mal alle weg.

 

Dann die beiden Benutzer hinzugefügt und Rechte vergeben.

So hat es einwandfrei geklappt. Sache von 2 Minuten.

Übrigens, was den Wildwuchs betrifft, war das ein Gefummel diverser leute, von denen alle ohne den geringsten Durchblick gewerkelt haben. Wenn ich hier jetzt alles erzählen würde, wie da herumgedoktert wurde, würden die meisten profis hier vom Hocker kippen.

Und dennoch, es hat bis heute weitestgehend funktioniert.

Grüße von fummler