Jump to content

ABDE unter Windows Server 2008


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe einene DC unter Windows Server 2008 laufen.

 

Jetzt würde ich sehr gerne die ABDE konfigurieren damit Benutzer, die auf bestimmte Freigaben zugreifen, die wiederum Unterordner besitzen auf denen sie kein Zugriff haben, diese Unterordner nicht sehen können.

 

 

Ich habe das OS auf deutsch installiert. Die DNS, AD, DC ist alles schon lauffähig. Ich möchte diese Funktion nun im nachinein aktivieren.

 

Was muss ich dazu tun bzw. wie heißt das Programm mit dem ich das konfiguriere?

Link zu diesem Kommentar

So weit so gut!

 

Ich habe jetzt folgendes gemacht:

Unter den Ordneroptionen die Option "Freigabeassistenten verwenden (empfohlen) deaktiviert.

 

Dann bin ich über die Systemsteuerung unter dem Punkt Verwaltung auf Freigabe und Speicherverwaltung gekommen. In diesem Fenster werden alle Freigaben auf dem Server angezeigt. Mit der rechten Maustaste auf den freigegebenen Ordner unter Eigenschaften auf dem Punkt erweitert.

Hier kann man nun den Punkt ABE aktivieren.

 

War alles sehr verständlich und hat auch auf Anhieb funktioniert. Wenn das Wort aber jetzt nicht wäre...

 

Nochmal zur Erinnerung:

Server1 (DC), Freigabe1, ABE funktioniert. Ordner werden nicht angezeigt für jene, die keine Berechtigung auf diese Unterordner haben.

 

Server2 (befindet sich in der Domäne), Freigabe2, ABE funktioniert nur halb. Ordner werden hier angezeigt auf denen User kein Zugriff haben, User haben auch die Möglichkeit die Ordner anzuklicken und kommen auch rein, aber der Ordnerinhalt wird nicht angezeigt.

 

Die NTFS Berechtigung sind hier genauso wie die, die sich auf dem Server1 befinden. Der einzige Unterschied ist, dass die Freigabe1 auch auf dem DC liegt und die Freigabe2 auf dem Server2, der nur in der Domäne ist.

 

 

Gibt es für diesen speziellen Fall eine Unterscheidung? Ist das Problem bekannt?

Link zu diesem Kommentar
Server2 (befindet sich in der Domäne), Freigabe2, ABE funktioniert nur halb. Ordner werden hier angezeigt auf denen User kein Zugriff haben, User haben auch die Möglichkeit die Ordner anzuklicken und kommen auch rein, aber der Ordnerinhalt wird nicht angezeigt.

 

Die NTFS Berechtigung sind hier genauso wie die, die sich auf dem Server1 befinden. Der einzige Unterschied ist, dass die Freigabe1 auch auf dem DC liegt und die Freigabe2 auf dem Server2, der nur in der Domäne ist.

 

Wenn es unterschiedliches Verhalten ist, dann sind es auch nicht die selben NTFS Berechtigungen. Wenn die User die Ordner sehen, dann sind auch die Berechtigungen gesetzt, dass sie den Ordner sehen können. Vergleiche also einfach nochmal.

 

Bye

Norbert

Link zu diesem Kommentar

Hi Norbert.

 

Auf die gleiche Idee bin ich auch gekommen. Ich habe es mehrere Male überprüft. Es ist aber definitiv die gleiche NTFS Berechtigung.

 

Gibt es dort eine Möglichkeit, dass es an der Konstelation der Server liegt? Also sprich DC zu nicht DC?

 

Unter NTFS habe ich ebenfalls bei den Ordnern auf denen User nicht zugreifen dürfen volle Verweigerung gewählt.

 

Genau wie auf dem Server1.

Link zu diesem Kommentar
Auf die gleiche Idee bin ich auch gekommen. Ich habe es mehrere Male überprüft. Es ist aber definitiv die gleiche NTFS Berechtigung.

 

Glaub ich dir trotzdem nicht. Nimm dir mal cacl.exe oder ein ähnliches tool und laß dir jeweils die Hauptordner ausgeben.

 

Gibt es dort eine Möglichkeit, dass es an der Konstelation der Server liegt? Also sprich DC zu nicht DC?

 

Nein, und wenn, entspräche das wieder meiner Aussage, dass deine Berechtigungen nicht identisch sind.

 

Unter NTFS habe ich ebenfalls bei den Ordnern auf denen User nicht zugreifen dürfen volle Verweigerung gewählt.

 

Wer mit Verweigerung arbeitet hat entweder NTFS nicht verstanden, oder ein falsches Dateikonzept. Oder in ganz seltenen Fällen einen plausiblen Grund. ;) Ich tippe bei dir auf die Mitte.

 

Bye

Norbert

Link zu diesem Kommentar

OK, ich werde es morgen nochmal probieren.

 

Die Dateistruktur habe ich nicht vorgegeben.

 

Ordner1

-Unterordner1 (alle haben Zugriff)

-Unterordner2 (nur bestimmt haben Zugriff)

 

Wie soll ich jetzt auf Unterordner2 ohne Verweigerung zur Hilfe zu nehmen den Zugriff verweigern?

 

Selbst bei einer anderen Stuktur muss ich doch mit der NTFS Berechtigung Usern die Rechte entziehen damit sie keinen Zugriff haben.

Link zu diesem Kommentar

Ganz einfach:

Ordner 1 Rechte nur für diesen ordner geben

Unterordner 1 Rechte für diesen Ordner und alle untergeordneten Ordner und Dateien

Unterordner 2 Rechte für diesen Ordner und alle untergeordneten Ordner und Dateien

 

Dann muß man sich auch nicht über Verweigerung oder nicht Gedanken machen und die Struktur bleibt übersichtlich. Logischerweise sollten in Ordner 1 dann keine Dateien und Ordner liegen die direkt bearbeitet werden können sollen.

 

Bye

Norbert

Link zu diesem Kommentar

Bsp: 2MA (MA1, MA2)

 

Ordner1 -> Jeder lesen, nur für diesen Ordner

Unterordner1 -> MA1 schreiben/ändern, diesen Ordner, Unterordner und Dateien

Unterordner2 -> MA2 schreiben/ändern, diesen Ordner, Unterordner und Dateien

 

Das bedeutet, wenn ich den MA2 gar nicht in den NTFS Berechtigungen für Unterordner1 stehen habe, dann hätte er auf diesen Ordnern gar kein Zugriff?

Link zu diesem Kommentar
Bspw. Wobei ich, abgesehen von Homefoldern, keine Rechte für User vergebe, sondern Gruppen benutze. Wenn du mal restrukturiert haben solltest, wüßtest du wieso. ;)

 

Bye

Norbert

 

Ich arbeite auch lieber mit Gruppen, da das Setzen der Berechtigungen nicht so großen administrativen Aufwand erfordert.

 

Bin dem Ganzen ein wenig auf die Spur gekommen. Du hattest mal wieder Recht Norbert. Ich konnte folgendes rausfinden:

 

1. Ich habe einen neuen Ordner angelegt.

2. Keine NTFS Berechtigungen gesetzt

3. Unter effektive Berechtigungen des neu angelegten Ordners überprüft wer welche Rechte hat

4. Festgestellt, dass UserA Vollzugriff auf den Ordner hat

 

Somit ist auch klar warum, auch unter Verwendung der Funktion ABE, die Ordner noch sichtbar waren oder sind. Mir ist jetzt nicht ganz klar woher der UserA die Rechte bekommt.

 

Nochmal zur IST-Situation:

1. Ich habe 2 Server (ServerA DC, ServerB in die Domäne eingebunden)

2. Einen freigegebenen OrdnerA auf ServerA erstellt. Berechtigungen gesetzt, ABE aktiviert, funktioniert tadellos (unter effektive Berechtigung hat jeder User die Rechte, die er haben soll)

3. ServerB in die AD eingebunden, als Administrator angemeldet und einen freigegebenen OrdnerB auf ServerB erstellt. Berechtigungen gesetzt genau wie bei OrdnerA auf ServerA. (Berechtigung überprüft, Fazit: Alle User haben Vollzugriff)

 

 

Mein Fazit oder meine Überlegung ist weiterhin, dass es was mit der AD Anmeldung zu tun hat.

Kann es sein, da ich mich mit ServerB an ServerA in der AD als Administrator anmelde, dass beim erstellen der Berechtigungen, die User die Administratorberechtigung vererbt bekommen? Denn sobald ich in der Active Directory mit ServerB bin und bei der Vergabe der NTFS Berechtigung User hinzufüge, dann muss ich mich an ServerA an der AD mit einem Benutzer anmelden. Ist hierbei egal, ob ich mich dann mit dem Administrator Account oder einem User Account anmelde, die Berechtigungen werden immer falsch gesetzt. (Alle User haben Vollzugriff)

 

Wenn ich mich jetzt auf ServerB lokal anmelde, die Benutzerkonten lokal anlege und die NTFS Berechtigungen vergebe, dann funktioniert es sofort. Nur nicht, wenn ich die User aus der AD des DC hole.

 

 

Meine angedachten Lösungsansätze:

Muss ich ServerB in die Active Directory bringen, mich dann wieder lokal anmelden und dann die Berechtigungen vergeben?

 

 

Muss ich ServerB in die AD bringen, mich als Administrator in der AD anmelden und den lokalen OrdnerB unter bestimmten Berücksichtigungen mit NTFS Berechtigungen versehen?

 

 

Würde mich tierisch freuen, wenn ihr mir einen kleinen Denkanstoß geben würdet damit ich diese Hürde gemeistert kriege. habe schon so viel gelesen und probiert, komme aber nicht weiter. Ich hoffe ich habe es verständlich erklärt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...