Jump to content

NTFS-Ordnerberechtigungen nach Benutzergruppen

PatrickKByte

Von PatrickKByte
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

PatrickKByte Experienced

PatrickKByte   12

Geschrieben
Geschrieben

Einen schönen guten Tag!

 

Aufgabe

Auf einem Share sollen mehrere Benutzegruppen unterschiedliche Zugriffsberechtigungen auf mehrere Ordner erhalten.

 

Da gibt es also 25 Ordner (nach Themen), und innerhalb des Unternehmens 6 Benutzergruppen (nach Position: GF, Büro, Orga, Praktikanten, Freie etc.).

 

Die Gruppe A darf auf die Ordner 1,2,15,17 zugreifen (Vollzugriff), Gruppe B hat nur Lesezugriff auf Ordner 4, Gruppe B hat Leserecht auf Ordner 1-25 ohne Schreibrecht etc.

 

 

Lösungsansatz

Ich habe mir das recht einfach vorgestellt und als Admin die 25 Ordner angelegt. Dann habe ich den Hauptordner, in dem die 25 liegen, freigegeben.

 

"Freigabe" -> Domänen-Benutzer und Administratoren: LESEN, SCHREIBEN, VOLLZUGRIFF

"Sicherheit" -> Domänen-Benutzer und Administratoren: LESEN, SCHREIBEN, VOLLZUGRIFF

 

Danach habe ich das Vererben von Berechtigungen für den Hauptordner abgeschaltet und den einzelnen Unterordnern manuell die Gruppen A-E mit den gewünschten Berechtigungen zugefügt.

 

Problem 1

Alle Benutzer sehen alle Ordner.

Stattdessen sollen sie nur die sehen, bei denen sie auch (mind.) Lesezugriff haben.

 

Problem 2

Die Benutzer haben Zugriff auf die Ordner, nicht aber auf die Dateien selbst! D.h. sie können den Verzeichnisbaum und den Ordnerinhalt anzeigen, aber die Datei nicht öffnen. Fehlermeldung: Zugriff verweigert.

 

 

 

Es ist bestimmt nur eine Kleinigkeit und wird sich mit NTFS ohne Extras realisieren lassen.

Wo ist mein Fehler? Ich sitze wahrscheinlich gerade drauf...

 

Ich freue mich über eure Beiträge und bedanke mich schon einmal...

Link zu diesem Kommentar
PatrickKByte Experienced

PatrickKByte   12

Geschrieben
  • Autor
Geschrieben

Gut, hab ich installiert und für das Share aktiviert. Scheint auch wunderbar zu funktionieren.

 

Dennoch bleibe ich beim Grundsatzproblem.

Wie müssen die NTFS-Berechtigungen aussehen, damit ich Ordner 1 der Gruppe A geben kann, etc?

Wer muss "Besitzer" der Dateien / Verzeichnisse sein?

 

Ich habe offensichtlich Fehler gemacht....

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Beschreibe mal am Beispiel eines nicht funktionierenden Ordners, welche erweiterten Berechtigungen auf Ordnerebene vergeben sind. Schau auch nach, welche Berecxhtigungen eine Datei hat, die sich nicht öffnen lässt. Hast Du bei der Vererbungsunterbrechung die ursprünglichen Berechtigungen kopiert oder entfernt ? Nach dem Zufügen zu den Gruppen haben sich die Benutzer wenigstens einmal ab- und wieder angemeldet ?

Link zu diesem Kommentar
PatrickKByte Experienced

PatrickKByte   12

Geschrieben
  • Autor
Geschrieben

Vielen Dank, dass du dir etwas Zeit nimmst!

Ich beschreibe die Berechtigungen so gut es geht und bitte um Nachricht, wenn etwas fehlen sollte.

 

Auf dem LW liegt im Root die Freigabe. Unter "Freigabe" ist der Ordner natürlich freigegeben :D, und unter 'Berechtigungen' habe ich den Administratoren und den Domänen-Benutzern Vollzugriff erteilt.

 

Unter 'Sicherheit' haben die Administratoren Vollzugriff, die Domänen-Benutzern habe ich "nur für diesen Ordner" Leseberechtigungen erteilt und die Vererbung ausgeschaltet.

 

 

Step 1: Das Hauptverzeichnis der Freigabe

 

Die genauen Berechtigungen der Domänen-Benutzer ("Nur diesen Ordner"):

  • Ordner durchsuchen / Datei ausführen
  • Ordner auflisten / Daten lesen
  • Attribute lesen
  • Erweiterte Attribute lesen
  • Berechtigungen lesen

 

Verweigerungen habe ich nicht verwendet.

Besitzer ist "Administratoren", der hat auch Vollzugriff auf "Diesen Ordner, Unterordner und Dateien".

 

Damit sollen sie die für sie relevanten Ordner sehen und öffnen können, aber weder umbenennen, noch löschen oder hinzufügen.

 

 

Step 2: Die einzelnen Themenordner

Alle Ordner wurden vom Domänenadministrator erstellt, der auch immernoch Besitzer ist.

 

Unter "Sicherheit" habe ich bei den entsprechenden Ordnern die Gruppe "Administratoren" immer im Vollzugriff und dazu händisch die relevanten Gruppen ergänzt.

 

Bsp: im Ordner "Sekretariat" steht neben den Admins zusätzlich die Gruppe "Verwaltung" im Vollzugriff. Der Haken bei "Berechtigungen..., sofern vererbbar..., einbeziehen" ist gesetzt. Unter "Erweitert" sehe ich, dass die "Verwaltung" Vollzugriff hat (nicht geerbt), und zwar für "Diesen Ordner, Unterordner und Dateien".

 

Alle Dateien und Unterverzeichnisse gehören der Gruppe "Administratoren".

 

So, ich glaube, das war's.

Fehlt noch etwas?

 

 

PS: Ich habe bei der Vererbungsunterbrechung die Berechtigungen entfernt. Die Benutzer sind auch alle in der Gruppe "Domänen-Benutzer" bzw. in den jeweiligen Sicherheitsgruppen, und ich habe einzelne User auch zwischendurch abgemeldet und wieder an der Domäne angemeldet.

Link zu diesem Kommentar
IThome Grand Master

IThome   10

Geschrieben
Geschrieben

Angenommen, Du hast einen Rootordner, der Daten heisst. Dieser Ordner ist die Root für Deine Ordnerstruktur und wird freigegeben. Die Freigabe wird für die "Authentifizierten Benutzer" mit Vollzugriff erstellt. Wenn die Benutzer sich also mit \\Server\Daten verbinden, sehen sie erstmal nichts. Ziel ist es, dass aussschliesslich der Administrator in diesem Ordner Unterordner erzeugen kann und ausser ihm niemand etrwas löschen soll. Also wird in diesem Ordner erstmal die Vererbung deaktiviert und alle Gruppen ausser Administratoren und System entfernt. Als Berechtigung stehen dann dort die Administratoren und System mit Vollzugriff für "Diesen Ordner, Unterordner und Dateien". Die Authentifizierten Benutzer erhalten Leseberechtigung für "Nur diesen Ordner". Wenn ein Administrator jetzt hier einen neuen Ordner erstellt, nennen wir ihn mal GF, steht dort als geerbte Berechtigung: Administratoren und System für "Diesen Ordner, Unterordner und Dateien". Und so zieht sich das runter bis zum letzten Unterordner (die Unterordner erben also vom Rootordner). Die Vererbung der Authentifizierten Benutzer erfolgt nicht, da sie ausschliesslich im Rootfolder berechtigt sind. Also musst Du nur noch die Gruppe zufügen (im Ordner GF), die Berechtigungen erhalten soll und diese Berechtigung gilt dann für "Diesen Ordner, Unterordner und Dateien". Der erste Unterordner unterhalb von GF hat dann die Administratoren und System mit Vollzugriff (ausgegraut, da von oben geerbt) und die von Dir zugefügte Gruppe mit der von Dir vergebenen Berechtigung (nicht ausgegraut, da diese Berechtigung die Grundlage für das Vererben nach unten ist). Der darunter angelegte Ordner hat dann alle 3 Gruppen mit ausgegrauten Berechtigungen, da alles von weiter oben geerbt wurde ...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...