melave 10 Geschrieben 6. Oktober 2012 Melden Teilen Geschrieben 6. Oktober 2012 Hallo, ich hätte da mal eine Frage zu einem Berechtigungsproblem wo ich nicht weiterkomme. Ich bin bei einem Kunden gerade dabei einen neuen Fileserver zu konfigurieren. Auf dem Server gibt es einen Share den alle Domänen-User als Netzlaufwerk gemappt haben. Ich möchte nun folgendes realisieren: Auf dem Share gibt es Ordner 1, Ordner 2 und Ordner 3. Für diese drei Ordner hat User A Vollzugriff, um ggf. weitere Berechtigungen zu setzen, neue Ordner zu erstellen, etc. Gruppe B kann auf dieser Ebene nur lesen, nichts erstellen, nichts umbenennen und nichts löschen. Diese Gruppe hat durch die Vererbung des Shares nur das Recht "Lesen, Ausführen". Unterhalb der drei Hauptordner soll die Gruppe B das Recht "Ändern" bekommen, damit sie ab der zweiten Ebene wieder normal arbeiten können. Dies habe ich so gelöst, indem ich auf der ersten Ebene der Gruppe B das Recht "Ändern" gegeben habe, und diese nach unten vererbt habe. Danach auf der ersten Ebene dieser Gruppe wieder nur das Recht "Lesen, Ausführen" gegeben, aber nicht weitervererbt. Grundsätzlich funktioniert dies auch wunderbar, mit ausnahme, dass ein User der Gruppe B einen Ordner auf Ebene 1 zwar nicht umbenennen, löschen oder einen neuen Ordner erstellen, aber einen bestehenden in einen anderen Ordner auf dieser Ebene verschieben kann, und ich weiß nicht wie ich das unterbinden kann. Gibt es hier irgendwelche Best-Practice Ansätze wie man sowas löst? Ich hab schon ein weilchen im Internet gesucht, aber nicht viel hilfreiches gefunden. Eigentlich eine total simple Anforderung, aber anscheinend ist dies mit NTFS-Rechten nicht abbildbar? Danke für eure Hilfe! MfG, Melina Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 7. Oktober 2012 Melden Teilen Geschrieben 7. Oktober 2012 Hallo Melave und herzlich willkommen, weise doch bitte in Zukunft auf Doppelposts hin. Administrator.de war's doch, oder? Berechtigungen kann man auf verschiedene Arten vergeben. Also eine Best-Practice wirst Du wohl nicht bekommen. Aber vielleicht hilft Dir dieser Beitrag bei dem Verschiebe-Problem ja weiter: http://www.mcseboard.de/windows-forum-security-47/spezielle-ntfs-berechtigungen-freigabe-174849.html Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 7. Oktober 2012 Melden Teilen Geschrieben 7. Oktober 2012 Der Fall ist bekannt und durchaus mit ACLs lösbar. Obwohl Verweigerungs-Einträge prinzipiell nicht erwünscht sind, ist dies eine der Situationen, in denen sie hilfreich sind. Du setzt auf der Ebene 1 die Berechtigungen für die Gruppe, die auch auf Ebene 2 und darunter wirksam sein sollen. Dann setzt Du für die gleiche Gruppe ebenfalls auf Ebene 1 einen zweiten Eintrag für "Nur diesen Ordner", in denen Du explizit jene im ersten Eintrag gesetzten Berechtigungen verweigerst, die auf Ebene 1 nicht gelten sollen. Zitieren Link zu diesem Kommentar
melave 10 Geschrieben 8. Oktober 2012 Autor Melden Teilen Geschrieben 8. Oktober 2012 Der Fall ist bekannt und durchaus mit ACLs lösbar. Obwohl Verweigerungs-Einträge prinzipiell nicht erwünscht sind, ist dies eine der Situationen, in denen sie hilfreich sind. Du setzt auf der Ebene 1 die Berechtigungen für die Gruppe, die auch auf Ebene 2 und darunter wirksam sein sollen. Dann setzt Du für die gleiche Gruppe ebenfalls auf Ebene 1 einen zweiten Eintrag für "Nur diesen Ordner", in denen Du explizit jene im ersten Eintrag gesetzten Berechtigungen verweigerst, die auf Ebene 1 nicht gelten sollen. Hallo, danke! Das hätte ich auch schon alles durchprobiert. Ich bin sogar soweit gegangen, dass ich fast alles bis auf "Ordner auflisten" verweigert habe. Löschen, umbenennen und neue Ordner erstellen ist auch nicht möglich, aber das verschieben von Ordnern (z.B. per Drag and Drop) ist weiterhin möglich. Ich verzweifle bald :cry: @ iDiddi: Sorry, stimmt, ich hätte hinweisen sollten, dass ich auf administrator.de dies auch schon reingestellt habe. Melina Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 8. Oktober 2012 Melden Teilen Geschrieben 8. Oktober 2012 Hmm. Und Du hast im Überordner das Recht "Unterordner und Dateien löschen" auch raus genommen? Zitieren Link zu diesem Kommentar
melave 10 Geschrieben 10. Dezember 2012 Autor Melden Teilen Geschrieben 10. Dezember 2012 Hallo, sorry für die späte Rückmeldungen, hatte in den letzen Wochen arg viel zu tun. In dem Fall bin ich leider noch immer nicht dort wo ich hin möchte. Diesen Vorschlag von iDiddi habe ich eben umgesetzt: http://www.mcseboard.de/windows-forum-security-47/spezielle-ntfs-berechtigungen-freigabe-174849.html#post1078063 Funktioniert grundsätzlich auch, wenn man allerdings dann den Ordner1 per Drag&Drop auf Ordner2 zieht, so wird zwar verhindert dass der Ordner1 gelöscht wird, jedoch wird der komplette Inhalt aus Ordner1 dennoch in Ordner2 verschoben, und Ordner1 ist leer. Ich möchte eigentlich nur erreichen, dass Grobmotoriker nicht unabsichlich komplette Verzeichnisse verschieben können ... da Hilft es mir leider nicht wenn ich "Löschen" eines Ordners verweigere, da der Inhalt des Ordners dennoch verschoben wird... Ich bin mir schon nicht mehr sicher, ob es hier um ein Verständnisproblem meinerseits liegt, oder ob das wirklich nicht realisierbar ist. :rolleyes: Danke für euer Bemühen ;-) Melina Zitieren Link zu diesem Kommentar
zahni 523 Geschrieben 10. Dezember 2012 Melden Teilen Geschrieben 10. Dezember 2012 Beim Drag & Drop wird eben nichts gelöscht, sondern verschoben. D.h. der Baum wir im Dateisystem nur an eine andere Stelle gehängt. Siehe dazu auch How permissions are handled when you copy and move files and folders PS: Du schlägst Dich mit einem Problem zum, das vermutlich jeder Admin hat, weil Micrsoft es nicht schafft, beim Verschieben im Explorer eine (otionale) Sicherheitsabfrage einzubauen. Du wirst damit leben müssen... Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 10. Dezember 2012 Melden Teilen Geschrieben 10. Dezember 2012 Das Verhalten ist bei näherer Betrachtung nur logisch. Ein User der Gruppe B hat auf alle Objekte unterhalb von Ebene 1 das Recht "Ändern". Somit darf er den Inhalt auch verschieben. Da er unterhalb von Ordner 2 auch Änderungsrechte besitzt, wird auch nicht verhindert, dass er die Objekte dort einfügen kann. Woher soll Windows auch wissen, das es in diesem Fall nicht erwünscht ist? Schön wäre, wie zahni schon schrieb, wenn zuerst die Zugriffsrechte des übergeordneten Ordners geprüft würden, um dann noch eine Abfrage alá "Der Ordner wird aufgrund mangelnder Berechtigungen nicht mit verschoben. Wollen Sie wirklich nur dessen Inhalt verschieben?" einbauen zu können. Vielleicht kommt das ja irgendwann. Momentan musst Du leider damit leben. Zitieren Link zu diesem Kommentar
melave 10 Geschrieben 10. Dezember 2012 Autor Melden Teilen Geschrieben 10. Dezember 2012 Hmm.. ich habs mir schon fast gedacht. Da hilft wohl nur direkt an den Usern anzusetzen. Danke euch! Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 11. Dezember 2012 Melden Teilen Geschrieben 11. Dezember 2012 Ja, man kann nicht immer alles einschränken. Der Benutzer muss lernen, verantwortlich für seine Daten zu sein und im Explorer nicht wild mit der Maus bei gedrückter Taste herumzufuchteln. Sieh es mal so: Einen physischen Ordner kann man auch in den falschen Schrank räumen. Da wird man auch keinen anderen für verantwortlich machen ;) Zitieren Link zu diesem Kommentar
tesso 360 Geschrieben 11. Dezember 2012 Melden Teilen Geschrieben 11. Dezember 2012 Off-Topic:Beim Aktenordner fällt mir gerade eine Lösung ein. Strick dran machen, der nur bis zum Rand des Schranks reicht.:D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.