Lampe2010 10 Posted January 27, 2011 Report Share Posted January 27, 2011 HAllo Liebe Forumsteilnehmen, ich habe gerade ein Problem mit Freigaben und bräuchte mal hilfe. Ich habe folgende Situation : Auf einem Windows 2008 Server habe ich auf Laufwerk D eine Ordnerstrucktur angelegt. Bei dieser Ordnerstrucktur habe ich bestimmten Benutzern ( Namentlich ) das recht Vollzugriff, Ändern oder Lesen vergeben. Nun will ich davon einen Ordner freigeben und erstelle eine Freigabe mit der Berechtigung JEDER - Vollzugriff. Nun kann aber der Benutzer A auf einmal ALLE Ordner öffnen und lesen und auch Dateien erstellen obwohl er laut NTFS Berechtigung nur lesenden zugriff auf Ordner A in der Freigabe haben sollte. Wenn ich das Berechtigungskonzept avon MS aber richtig verstanden habe, so dürfte er das doch gar nicht. Laut MS sollte es so sein : NTFS Berechtigungen und Freigabeberechtigungen heben sich nicht gegenseitig auf ABER das Recht mit den Meisten einschränkungen wird auf den Benutzer angewendet. Das müßte doch heißen das der Benutzer in der Freigabe nur Ordner A sehen dürft oder ???? Quote Link to comment
sfr 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Bin zwar selber noch Anfänger aber ich versuche es einfach mal. Wie sieht denn die Struktur genau aus? In welchen Gruppen ist der UserA? Quote Link to comment
Lampe2010 10 Posted January 27, 2011 Author Report Share Posted January 27, 2011 Ich glaube ich sollte nochmal von vorne anfangen, beim lesen meines eigenen Posts steige ich selber nicht mehr durch :D Folgende Situation : Windows 2008 Dateiserver auf dem ich eine Ordnerstrucktur erstellt habe die wie folgt aussieht : Benutzer A = Domänenbenutzer, keine weiteren Mitgliedschaften. Laufwerk d -Ordner Daten --A ( Unterordner ) ---A.A ---A.B --B ( Unterordner ) ---B.A ---B.B --C ( Unterordner ) ---C.A ---C.B usw. Nun habe ich auf dem Fileserver fleißig die NTFS Berechtigungen eingerichtet und dem Benutzer A als beispiel nur zugriff auf den Hauptordner A ( inkl. unterordner ) gegeben. Bei den Anderen Ordnern B und C ( Inkl. Unterordner ) ist er nicht in den NTFS Berechtigungen eingetragen. Nun gebe ich meine Ordnerstrucktur wie folgt frei : Hauptordner Daten wird freigegeben mit der Berechtigung "Jeder - Vollzugriff" Dadurch kann aber auf einmal der Benutzer A den ich per NTFS nur den Zugriff auf Ordner A gegeben habe "ALLES" machen. Warum ? Nachdem ich mir das genauer angeschaut habe ist mir aufgefallen, das wenn ich bei der Freigabe das Recht "Jeder-Vollzugriff" vergebe, "Jeder-Vollzugriff" weiter vererbt wird, so das ich alle vorherigen NTFS Berechtigungen aushebel. Kann es sein das ich hier von der Falsche Seite anfange ? Muss ich erst eine Freigabe erstellen und dann in der Freigabe selber die Einschränkungen vornehmen ? Ich dachte ich habe es so verstanden das Freigabeberechtigungen und NTFS Berechtigungen unabhängig voneinander sind und sich nicht ersetzen, sondern ergänzen, so das das geringste Recht gültig ist. Hoffe das mein Problem nun besser rüberkommt. Quote Link to comment
sfr 10 Posted January 27, 2011 Report Share Posted January 27, 2011 Also der Unterschied zwischen Freigabeberechtigung und NTFS berechtigung verstehe ich wie folgt: Freigabeberechtigung: Wer kann überhaupt auf diese Freigabe zugreifen NTFS Berechtigung sind Berechtigungen auf Dateisystemebene. Dort kann ich Gruppen bzw. Usern spezielle Berechtigungen geben bzw. Berechtigungen weiter verschachteln. Ich würde als erstes in den Freigabeberechtigungen für jeder den Vollzugriff rausnehmen. Jeder Vollzugriff würde ich nur bei Serverseitigen Profilordner vergeben, da an dieser Stelle das System die Berechtigungen (NTFS) sowieso selber schreibt. Des weiteren gibt es einen riesen Unterschied zwischen expliziert und implizierte Zugriffsverweigerung. Lies dir das mal genau durch, Google hat dazu jede Menge Antworten. Ich habe so einen ähnlichen Thread hier im Forum eröffnet, da wurde mir geschrieben, dass man nicht mit Verweeigerung arbeiten sollte, warum habe ich noch nicht herausgefunden. Im schlimmsten Fall gehst du so wie ich vor und machst folgendes: Hauptordner: Freigabeberechtigung: Jeder -> lesen/ändern NTFS Berechtigung: Jeder -> lesen (nur, wenn auf der Ebene nicht geschrieben werden brauch!) Unterordner A: NTFS Berechtigung: UserA (z.B. lesen/ändern), UserB (Zugriff verweigern) Unterordner B: NTFS Berechtigung: UserB (z.B. lesen/ändern), UserA (Zugriff verweigern) Und so weiter! Soll wohl laut dem Forum Spezialisten NorbertFE keine gute Lösung sein, bei mir läuft sie aber und eine bessere habe ich bis jetzt nicht gefunden. Solltest du das Prinzip von Norbert vor mir verstanden haben, dann würde ich mich über eine Info freuen. Ansonsten gibts eine von mir! Des weiteren würde ich folgendes machen damit UserA der auf OrdnerB keinen Zugriff hat, diesen auch nicht im Hauptordner zu sehen bekommt gibt es eine tolle Funktion namens ABE (Access Based Enumeration) Mit dieser Funktioon werden Ordner für User die keinen Zugriff auf diese haben versteckt. Dazu würde ich im Explorer unter Ordneroptionen Ansicht das Häkchen bei Freigabeassistenten verwenden (empfohlen) herausnehmen. Dann Unter Verwaltung Freigabe und Speicherverwaltung für deine Freigaben (rechte Maustaste, Eigenschaften) unter Extras die ABE (in deutsch hat diese Funktion einen anderen Namen, ich glaube Zugriffsorientierte Aufzählung) aktivieren. Quote Link to comment
Lampe2010 10 Posted January 28, 2011 Author Report Share Posted January 28, 2011 Habe gerade die Disskusion gefunden von NorbertFE und dir, aber ja mehr ich das lese desto verwirrter bin ich. ich habe mal ein punkt von MS aus folgender Seite herausgenommen : Freigabe- und NTFS-Berechtigungen auf einem Dateiserver Wenn Sie für die Verwaltung des Zugriffs auf Ordner ausschließlich NTFS-Berechtigungen verwenden möchten, legen Sie für die Freigabeberechtigungen den Vollzugriff für die Gruppe Jeder fest. NTFS-Berechtigungen wirken sich sowohl auf den lokalen als auch auf den Remotezugriff aus. NTFS-Berechtigungen gelten unabhängig vom Protokoll. Freigabeberechtigungen hingegen gelten nur für Netzwerkfreigaben. Mit Freigabeberechtigungen wird der Zugriff für den Computer, für den Sie Freigabeberechtigungen festgelegt haben, nicht auf einen lokalen Benutzer oder auf einen Terminalserverbenutzer eingeschränkt. Demnach wird mit Freigabeberechtigungen kein Datenschutz zwischen Benutzern an einem Computer bereitgestellt, der von mehreren Benutzern verwendet wird. Dies gilt ebenso für einen Terminalserver, auf den mehrere Benutzer zugreifen. Versteht das einer ??? Also habe ich einfach mal einen User (testuser) angelegt und diesem die Freigabeberechtigung Vollzugriff gegeben. Nun will ich ihn laut MS Artikle aber wieder über die NTFS berechtigung einschränken auf nur Lesen, so das er keine Ordner erstellen oder löschen kann. Wenn ich ihm nun auf dem Server als Admin in dem Ordner nur das Recht Lesen gebe, kann er trotzdem Ordner erstellen und löschen. Warum in Gottes Namen greift hier die NTFS Berechtigung nicht ? Quote Link to comment
Lampe2010 10 Posted January 28, 2011 Author Report Share Posted January 28, 2011 Habe noch einen Artikel gefunden sfr : http://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-dateien-und-netz-freigaben-unter-windows-kombinieren Wir hier ganz gut erklärt, erklärt aber noch nicht warum es bei mir nicht geht. Quote Link to comment
Lampe2010 10 Posted January 28, 2011 Author Report Share Posted January 28, 2011 OK, ich glaube ich habe es nun. Umgesetzt wie folgt : Folgende Freigabe erstellt : Testfreigabe ( Freigabe Berechtigung Jeder Vollzugriff ) Somit kann jeder mit Vollen Rechten auf die Freigabe zugreifen. NTFS Berechtigungen auf den Freigegebenen Ordner abgeändert wie folgt : Servername\Benutzer aus den Berechtigungen entfernt. ( Bleiben Sie drin greifen die NTFS Einschränkungen nicht. ) Vererbung deaktiviert und die Standard Berechtigungen als Kopie belassen ( Ohne Server\Benuter ) Ergebniss : Niemand außer den Standard Benutzer welche vom NTFS Vergeben werden kann auf die Daten zugreifen. Bestimmte Benutzer oder Gruppen zulassen : Benutzer oder Gruppe der NTFS Berechtigung hinzugefügt mit den Rechten welche Sie auch später haben sollen. Ergebniss : Berechtigungen werden wie gewünscht angewendet. Endergebniss : Für meinen Fall funktioniert nun alles so wie ich es will, doch bin ich mir immer noch nicht sicher ob das alles so wie ich es gemacht habe im Sinne von MS ist. Falls noch jemand einen Tipp oder Kritik zu diesem Vorgehen hat, so möchte er mit bitte hier schreiben. Würde mich sehr über weitere Tipps, Kritiken und Verbesserungsvorschläge freuen. Eure Lampe Quote Link to comment
NilsK 2,946 Posted January 28, 2011 Report Share Posted January 28, 2011 Moin, es handelt sich hier um absolute Grundlagen der Windows-Berechtigungsverwaltung. Diese zu erklären, ist für ein Forum kaum möglich. Eigne dir die Grundlagen auf geeignetem Wege an. In Kürze: So, wie du es zuletzt eingerichtet hast, ist es im Wesentlichen richtig. Best Practice ist, auf der Freigabeebene "Jeder: Vollzugriff" zu setzen und alle Einschränkungen dann über NTFS zu definieren, weil sich so die beiden Ebenen nicht überlagern. Wenn du gezielte Berechtigungen vergeben willst, musst du in der Tat die Vererbung abschalten und die "Pauschalgruppen" wie Jeder, Benutzer usw. aus der Liste entfernen. In diesen Gruppen sind nämlich alle Benutzer Mitglied, sodass sie immer mindestens die Rechte haben, die an diese Gruppen vergeben sind. "Verweigern" sollte man nur im Ausnahmefall, weil das eben auch "verweigern" bedeutet. Typischer Fehler: Den Zugriff für "Benutzer" verweigern, weil nicht jeder Benutzer zugreife können soll. Im Effekt kann so aber niemand zugreifen, weil ja alle Mitglied der "Benutzer" sind und damit allen der Zugriff verweigert wird. Gruß, Nils Quote Link to comment
Lampe2010 10 Posted January 28, 2011 Author Report Share Posted January 28, 2011 Hallo Nilsk, die grundlagen hatte ich schon mal intus , nur habe ich sie inzwischen vergessen, da ich schon lange nichts mehr damit zu tun hatte. Die Texte von MS sind mir auch nicht immer verständlich, dehalb bin ich froh das du mir jetzt die Vorgehensweise so mal als richtig bestätigst. Bin auch schon fleißig dabei alles umzusetzen und teste zwischendurch immer wieder damit mir keine fehler unterlaufen. Inzwischen ist es auch ein Kinderspiel man muss halt so wie ich nur nochmal den Faden finden, dann wird es einem wieder klar. Trotzdem mal ein großes danke an alle die mir hir geholfen haben. Quote Link to comment
NilsK 2,946 Posted January 28, 2011 Report Share Posted January 28, 2011 Moin, schön, danke für die Rückmeldung. Gruß, Nils Quote Link to comment
sfr 10 Posted January 28, 2011 Report Share Posted January 28, 2011 OK, ich glaube ich habe es nun. Umgesetzt wie folgt : Folgende Freigabe erstellt : Testfreigabe ( Freigabe Berechtigung Jeder Vollzugriff ) Somit kann jeder mit Vollen Rechten auf die Freigabe zugreifen. NTFS Berechtigungen auf den Freigegebenen Ordner abgeändert wie folgt : Servername\Benutzer aus den Berechtigungen entfernt. ( Bleiben Sie drin greifen die NTFS Einschränkungen nicht. ) Vererbung deaktiviert und die Standard Berechtigungen als Kopie belassen ( Ohne Server\Benuter ) Ergebniss : Niemand außer den Standard Benutzer welche vom NTFS Vergeben werden kann auf die Daten zugreifen. Bestimmte Benutzer oder Gruppen zulassen : Benutzer oder Gruppe der NTFS Berechtigung hinzugefügt mit den Rechten welche Sie auch später haben sollen. Ergebniss : Berechtigungen werden wie gewünscht angewendet. Endergebniss : Für meinen Fall funktioniert nun alles so wie ich es will, doch bin ich mir immer noch nicht sicher ob das alles so wie ich es gemacht habe im Sinne von MS ist. Falls noch jemand einen Tipp oder Kritik zu diesem Vorgehen hat, so möchte er mit bitte hier schreiben. Würde mich sehr über weitere Tipps, Kritiken und Verbesserungsvorschläge freuen. Eure Lampe Freut mich das du es geschafft hast und jemand auch noch bestätigt, dass das richtig ist. Da mich das auch interessiert frage ich nochmals nach, ob ich das auch verstanden habe: Stammordner (Freigabeberechtigung: Jeder: Vollzugriff) (NTFS Berechtigung: System, Administrator: Vollzugriff) UnterordnerA (Vererbung deaktivieren, NTFS Berechtigung: UserA, lesen/ändern) UserB wird nicht in die NTFS Berechtigung mit aufgenommen und hat somit auch keinen Zugriff auf UnterordnerA. So in Ordnung? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.