NTFS Freigabeschwierigkeiten, Brett vorm Kopf

[Broco 0]

Hallo zusammen,

 

ich bin neu hier und auch noch relativ unerfahren mit NTFS-Freigaben, eigentlich arbeite ich mit Linux.

Bei uns kommt jetzt Windows Server 2008 zum Einsatz und ich muss mich darum kümmern, dass die Rechte alle richtig vergeben werden.

 

Ich habe ein extra Laufwerk für Freigaben, auf dem auch die Benutzerverzeichnisse liegen, darin gibt es einen Ordner "SERVER", in dem die einzelnen Freigaben liegen.

Ich skizziere mal die Struktur (vereinfacht):

 

Freigaben (D:)

Users  |  SERVER

 | Verwaltung | Buchhaltung | Standorte

    | Köln  |  Dortmund

     | Archiv | laufende Projekte

        | 2013-04_Projekt 1 | 2013-05_Projekt 2

 

Nun habe ich es so gemacht, dass ich den Ordner SERVER für die Gruppe Leitung (darf alles sehen) freigegeben habe.

Gruppe Verwaltung hat NTFS-Berechtigungen auf Verwaltung, Buchhaltung auf Buchhaltung etc.

Funktioniert alles wunderbar auf der ersten Ebene.

 

Niemand hat NTFS-Berechtigungen auf den Ordner Standorte (also weder erlaubt, noch verweigert), außer natürlich die Leitung durch Vererbung.

 

Nun ist es so, dass die jeweiligen Projekte nur von bestimmten Mitarbeitern bearbeitet werden. Soll heißen:

User A darf nur auf 2013-04_Projekt 1 zugreifen und User B nur auf 2013-05_Projekt 2 (jeweils Vollzugriff).

 

Deshalb habe ich dann einfach dem entsprechenden Benutzer auf den Ordner Vollzugriff gegeben; habe das vor 3 Wochen getestet und es ging einwandfrei.

 

Wenn der Benutzer auf die Freigabe SERVER ging, sah er Verwaltung, Buchhaltung und Standorte, konnte aber nur Standorte öffnen. Darin sah er NUR seinen Standort, darin nur den Ordner laufende Projekte und darin nur sein Projekt und konnte dort lesen und Schreiben. Wie gewünscht.

In den Rechten sah man dann unter Standorte, dass der Benutzer dort, nachdem ich ihm auf sein Projekt Vollzugriff gegeben hatte, "spezielle Berechtigungen" hatte.

 

Jetzt habe ich weitere Benutzer angelegt, aber obwohl ich diesen Vollzugriff auf ihre Projekte gegeben habe, bekommen sie keinen Zugriff auf den Ordner "Standorte", sie werden unter Sicherheit auch nicht wie der erste Benutzer mit speziellen Berechtigungen angezeigt.

 

Ich weiß, dass ich beim Einrichten irgendeine Erweiterte Einstellung geändert hatte in der Sicherheit, aber ich komme beim besten Willen nicht mehr darauf.

 

Kann mir jemand sagen, was ich da wie verbockt habe?

 

 

Edit: Es kammen weiteren Programme zum Einsatz, ich habe nur mit Windows-Freigaben und NTFS-Berechtigungen gearbeitet.

bearbeitet 10. April 2013 von Broco

[Haziel 10]

Hallo,

 

zuerstmal solltest du dir überlegen deine User in Gruppen zu organisieren. Wenn du jedem User einzeln rechte zuweist, hast du ständig diesen Arbeitsaufwand, wenn ein neuer Benutzer hinzukommt. Erstellst du nun eine Gruppe in der AD, kannst du dieser Gruppe entsprechende Zugriffsberechtigungen erteilen und anschließend genügt es, wenn du neue User zu dieser Gruppe hinzufügst.

 

Es gibt da so eine Vorgabe von Microsoft zur Gruppenerstellung für Freigaben. Nennt sich "AGDLP"-Regel. Hier werden (ganz grob gesagt) Benutzer direkt in globalen Sicherheitsgruppen und diese wiederum in Domänen Lokalen Gruppen zusammengefasst. Diesen Domänen Lokalen Gruppen werden dann die Zugriffsrechte gegeben. Am Ende steht somit kein User mehr direkt in den NTFS Berechtigungen.

 

Du kannst "normale" Freigabeberechtigung für "Jeder - Lesend" erstellen und anschließend den entsprechenden Gruppen via NTFS-Berechtigungen den Zugriff auf die Unterordner erlauben.

 

 

Merke hierbei: Soll ein Benutzer keinen Zugriff haben, setze NICHT die Häkchen bei "verweigert". Diese Einstellung steht nämlich über den "erlauben"-rechten.

[Broco 0]

Hallo und danke für die Antwort.

 

Zunächst muss ich erst einmal gestehen, dass ich gar kein AD verwende, der Server wird nur für Remotedesktopdienste benötigt und die Daten werden direkt abgelegt.

 

Und das Problem ist, dass es sehr viele Projekte gibt (pro Jahr kommen so 25-30) und die alten sollen auch bestehen bleiben, sodass ich sehr viele Gruppen erstellen müsste. Der Verwaltungsaufwand ist also gleich, ob ich jetzt Gruppen benutze oder nicht, aber es ist unübersichtlicher, wenn ich Gruppen benutze ;-)

 

Und sorry, es war gestern bzw. heute morgen spät.

Es ist auch so, dass ich eine Freigabe lesend für "Jeder" auf den Ordner "SERVER" erstellt habe und die Leserechte für Jeder dann in den Unterordnern entfernt habe (nicht verweigert natürlich), und die Rechte dann den entsprechenden Benutzern/Gruppen gegeben habe.

Außerdem verwende ich auch Gruppen, nur halt ausschließlich für die Ordner "Buchhaltung", "Verwaltung" etc.

 

Das Problem ist, dass ich das genau so gemacht habe (also übergeordneter Ordner lesend freigeben, darunter Freigabe entfenernen und nur den entsprechenden Usern/Gruppen freigeben), wie du beschrieben hast. Ich denke, ich habe irgendwo eine Vererbung versaut oder so etwas. Ich komme nur nicht drauf und verzweifle langsam. :-P

[lefg 276]

Hallo zusammen,

 

........relativ unerfahren mit NTFS-Freigaben,

 

Hallo und Willkommen am Board :)

 

Erst einmal sollte man sich darüber im Klaren sein, es gibt keine NTFS-Freigaben, es sind zwei verschiedene Dinge.

 

Es gibt das Filesystem NTFS und es gibt Freigaben. Die NTFS-Berechtigungen (Sicherheit) sind in den Access Control Lists(ACL) auf der Platte eingetragen, die der Freigaben stehen in der Registry. NTFS-Berechtigungen und Freigaben können sich widersprechen.

 

Ich habe verwalte wohl jedenfalls auf dem ersten Blick eine ähnliche Struktur wie in der Eröffnung angegeben, allerdings mit einem Active Direlctory.

 

Freigeben ist nur ein Stamm, auf diesen hat eine Sicherheitsgruppe Berechtigung auf Freigabe und NTFS, dieser Gruppe gehören alle regulären Benutzer an. Am Stamm kleben Unterordner (z.B. Verwaltung, Buchhaltung, Projekte) , diese sind von der Vererbung des Stammes abgetrennt, für den Zugriff auf jeden dieser Ordner gibt es eine Sicherheitsgruppe, ein Angehöriger dieser Gruppen wird extra aufgenommen in die Gruppe. Ebenso verhält es sich mit den Projekten, nur Angehörige einer Projektgruppe erhalten Zugriff auf den Ordner des jeweiligen Projektes.

 

Nun, falls man nicht mit einem AD arbeiten kann oder will, natürlich kann man auch auf einem einzeln stehenden Fileserver Sicherheitsgruppen anlegen und darin Benutzer aufnehmen.

bearbeitet 10. April 2013 von lefg

[Sunny61 773]

Und das Problem ist, dass es sehr viele Projekte gibt (pro Jahr kommen so 25-30) und die alten sollen auch bestehen bleiben, sodass ich sehr viele Gruppen erstellen müsste. Der Verwaltungsaufwand ist also gleich, ob ich jetzt Gruppen benutze oder nicht, aber es ist unübersichtlicher, wenn ich Gruppen benutze ;-)

 

Ich glaub nicht dass es auf Dauer unübersichtlicher ist, mit Gruppen zu arbeiten. Hier noch ein Artikel zum Lesen bezüglich der Verwendung von Gruppen: http://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

[lefg 276]

 

Broco, am 10 Apr 2013 - 08:40, sagte:

Und das Problem ist, dass es sehr viele Projekte gibt (pro Jahr kommen so 25-30) und die alten sollen auch bestehen bleiben, sodass ich sehr viele Gruppen erstellen müsste. Der Verwaltungsaufwand ist also gleich, ob ich jetzt Gruppen benutze oder nicht, aber es ist unübersichtlicher, wenn ich Gruppen benutze ;-)

 

25-30 Projekt im Jahr? Von der Menge her ist das Anlegen und Verwalten doch wohl kein wirkliches Problem, wäre es auch im Monat nicht auch nicht in einer Woche. Probleme sind eine Herausforderung zum Lösen. :)

 

Nun, ein AD zu verwenden ist auch eine Frage der Sicherheits-Philosophie für die Kennwortverwaltung z.B. Beispiel Dann gibt es da noch so wirklich schöne Dinge wie Gruppenrichtlinien und Group Policy Preferences. Ich hatte mal in Linux einen Teacher von einer Gewerbeschule, der meinte, mit Linux gehe das alles easy. Nachdem ich ihm AD und Gruppenrichtlinien nahegebracht, stellte er an seine Schule um auf Windows und AD. Die Lizenzkosten waren nachrangig.

[Broco 0]

Ok, tut mir leid, ich habe die Terminologie verhauen, aber ich kenne schon den Unterschied zwischen Freigabe und Berechtigung.

Das ist hier auch gar nicht das Problem und funktioniert alles einwandfrei.

 

Das Problem ist, dass, als ich Benutzer A Vollzugriff auf den Ordner den Ordner Projekt 1 gegeben hatte (der liegt auf SERVER-->Standorte-->Dortmund-->laufende Projekte-->Projekt 1), alle ÜBERGEORDNETEN Ordner bis zur Freigabe automatisch mit speziellen Berechtigungen für ihn versehen wurden, sodass er diesen Ordner erreichen konnte.

Er sah dann beim Öffnen der Freigabe "SERVER" also NUR "Standorte", konnte diesen Ordner öffnen, darin sah er NUR "Dortmund", darin NUR "laufende Projekte" und darin NUR "Projekt 1".

 

Benutzer B erhält diese speziellen Berechtigungen NICHT. Das bedeutet, wenn dieser Benutzer auf "SERVER" geht, sieht er den Ordner Standorte nicht. Es muss irgendwas mit Vererbung zu tun haben aber ich finde es beim besten Willen nicht.

 

Jetzt behelfe ich mir damit, dass ich die "Jeder darf lesen" Berechtigung bis auf den Ordner laufende Projekte drin lasse. Das unschöne dabei ist dann aber, dass der Benutzer dann alle Standort-Ordner sieht und auch das Archiv, selbst wenn er keine Freigabe innerhalb dieser Ordner hat.

 

Ich hoffe, ich konnte jetzt klar machen, was das Problem ist. Ist nur kosmetischer Natur.

 

 

P.S.: Danke für die Hinweise, aber dieses Problem ist unabhängig vom Active Directory.

Ich werde das wahrscheinlich auch noch einführen, aber muss mich damit erst auseinandersetzen, bevor ich es im Produktiveinsatz bringe.

 

Vielleicht erzeuge ich die Gruppen für die Maßnahmen auch noch. Übersichtlich meinte ich nur deswegen, weil es gleiche Projektnamen an verschiedenen Standorten geben kann und dann wären die Gruppen doppelt.

bearbeitet 10. April 2013 von Broco

[lefg 276]

Ich empfehle, lasse sein das Erteilen der Berechtigungen für einzelne Benutzer, mache es mit Sicherheitsgruppen.

 

Ich habe versucht das Beschriebene nachzuvollziehen, kann doch wohl aber nicht sehen, was ist zwischen Benutzer A und B verschieden. Falls da mit der Vererbung etwas nicht in Ordnung sein sollte, ja, aber was denn? Ich habe bei mir die Vererbung für die Benutzergruppen "unterbrochen", der Stammordner vererbt nicht auf die Sachordner, das gilt auch für den Administrator und die Gruppe der Administratoren.

 

Ich kann dir nur empfehlen, löse über Sicherheitsgruppen, je eine Sicherheit auf jeden Ordner, auf den Hauptordner und die Unterordner, die Sicherheitsgruppe des Hauptordners wird Member in den Sicherheitsgruppen der Unterordner, dann braucht man die Gruppe nicht extra pflegen und jemand der Berechtigung auf einen Unterordner automatisch auch auf den freigegebenen Hauptordner. Sicherheitsgruppen sind auch auf dem Einzelserver ohne AD anwendbar.

bearbeitet 10. April 2013 von lefg

[Broco 0]

Ich benutze ja Sicherheitsgruppen für Ordner wie Buchhaltung und Verwaltung, nur halt nicht für die Projektordner.

Ich meine, es ist ja kein Problem, diese anzulegen, aber das Problem ist doch dann vom Prinzip her das gleiche. Ob jetzt Gruppenberechtigungen nicht automatisch gesetzt werden oder Benutzerberechtigungen ist doch unerheblich, lediglich die Organisation ändert sich. Ich werde das aber dennoch umsetzen, davon habt ihr mich überzeugt.

 

Trotzdem wüsste ich gerne, wie ich es jetzt hinbekomme, dass, wenn ich Vollberechtigungen für einen Unterordner gebe, in den übergeordneten Ordnern automatisch die speziellen Berechtigungen gesetzt werden.

 

Noch einmal ganz einfach:

 

Ebene 1 ist die Freigabe, alle haben Lesezugriff.

 

Ebene 2 ist ein Ordner in der Freigabe. Der Lesezugriff für "Jeder" wurde entfernt.

 

Ebene 3 ist ein Unterordner von Ebene 2. Benutzer A und Benutzer B haben Vollzugriff.

 

Ein Benutzer ohne Berechtigung für Ebene 2 und Ebene 3 sieht in dem Ordner Ebene 1 NICHTS.

 

Als ich die Berechtigung für Benutzer A gesetzt habe, hatte ich wohl eine Einstellung (Vererbung?) anders, aber ich weiß nicht mehr, welche.

Als Benutzer A dann Vollzugriff auf Ebene 3 bekam, wurden AUTOMATISCH spezielle Berechtigungen in Ebene 2 gesetzt, die sieht man auch unter Eigenschaften-->Sicherheit von Ebene 2. Die speziellen Berechtigungen sind

- Ordner durchsuchen / Datei auflisten

- Ordner auflisten / Daten lesen

- Attribute lesen

- Erweiterte Attribute lesen

- Berechtigungen lesen

 

Beim Setzen der Vollberechtigungen von Benutzer B wurden diese speziellen Berechtigungen auf Ebene 2 nicht gesetzt.

Die Frage ist: Warum?

[lefg 276]

Und wieso auf der Ebene der Freigabe nur Leserechte? Wenn über die Freigabe auf dahinter und darunter liegende Ordner auch auflistend und schreibend zugegriffen werden soll, dann wird da doch mehr als Lesen benötigt, oder nicht?

Ebene 2 ist ein Ordner in der Freigabe.

Ein Ordner kann nicht in einer Freigabe sein, ein Ordner kann freigegeben sein oder ist ein Sub eines anderen Ordners, mit einer oder der  Freigabe hat das nichts zu tun.

bearbeitet 10. April 2013 von lefg

[Broco 0]

Natürlich kann ein Ordner in einer Freigabe sein.

Ich gebe den Ordner "Freigaben" mit Leserechten für "Jeder" frei und in dem Ordner Freigaben ist der Ordner Buchhaltung.

Ich lösche die Leseberechtigungen für "Jeder" im Ordner Buchhaltung und Erstelle eine Berechtigung mit Vollzugriff für die Gruppe Buchhaltung auf den Ordner.

 

Das nenne ich einen Ordner in einer Freigabe bzw. einem freigegebenen Ordner.

 

Dann ist das so, dass NUR die Buchhaltung auf den Ordner Buchhaltung lesend und schreibend zugreifen kann.

Wieso muss ich hier einem "Expert Member" mit 15000 Beiträgen die Basics von Windows-Freigaben erklären?

 

Ich will jetzt echt nicht patzig werden, aber ich will einfach nur die Antwort auf meine Frage und nicht in jedem Post die Grundstruktur meines Problems neu erläutern oder den Aufbau der Struktur rechtfertigen.

Die Struktur ist ganz normal nach Windows-Standards aufgebaut, genau so wird es auch von Microsoft empfohlen.

 

Bitte nicht Fragen beantworten, die ich nicht gestellt habe.

 

Noch mal die Problematik und NUR darauf brauche ich die Antwort (diesmal versucht, es noch mehr zu präzisieren):

Vereinfacht, die Struktur besteht nur aus 3 Ordnern:

 

Ebene 1 ist ein Ordner nur mit Leserechten freigegeben für "Jeder". (Also über FREIGABEN).

 

Ebene 2 ist ein Unterordner in dem Ordner "Ebene 1". Der Lesezugriff für "Jeder" wurde entfernt. (mit NTFS-Berechtigungen)

 

Ebene 3 ist ein Unterordner von Ebene 2. Benutzer A und Benutzer B haben Vollzugriff. (NTFS-Berechtigungen)

 

Ein Benutzer ohne Berechtigung für Ebene 2 und Ebene 3 sieht in dem Ordner Ebene 1 also NICHTS.

 

Als ich die Berechtigung für Benutzer A gesetzt habe, hatte ich wohl eine Einstellung (Vererbung?) anders, aber ich weiß nicht mehr, welche.

Als Benutzer A dann Vollzugriff auf Ebene 3 bekam, wurden AUTOMATISCH spezielle Berechtigungen in Ebene 2 gesetzt, die sieht man auch unter Eigenschaften-->Sicherheit von Ebene 2. Die speziellen Berechtigungen sind

- Ordner durchsuchen / Datei auflisten

- Ordner auflisten / Daten lesen

- Attribute lesen

- Erweiterte Attribute lesen

- Berechtigungen lesen

 

Das heißt, wenn Benutzer A dann die Freigabe "Ebene 1" öffnete, sah er den Ordner "Ebene 2", kann in diesem Ordner aber nichts anlegen. In dem Ordner sah er nur "Ebene 3" und in diesem Ordner hatte er Vollzugriff.

 

Beim Setzen der Vollberechtigungen von Benutzer B wurden diese speziellen Berechtigungen auf Ebene 2 nicht gesetzt.

Die Frage ist: Warum? Welche Einstellung fehlt bzw. muss ich setzen, damit die speziellen Berechtigungen auf den übergeordneten Ordner von Ebene 3 (in diesem Beispiel Ebene 2) automatisch gesetzt werden, wenn ich einem Benutzer Vollzugriff auf Ebene 3 gebe?

 

 

Edit: Ich weiß immer noch nicht, warum das mit der Aufwärtsvererbung spezieller Berechtigungen nicht funktioniert hat, aber ich habe das Problem jetzt mit dem gleichen Ergebnis anders gelöst.

Kurze Info wie:

 

Hauptordner (Ebene 1) ist lesbar für Jeden

 

Standorte (Ebene 2) ist hat spezielle Berechtigungen für Jeden, aber keine generelle Leseerlaubnis (das heißt: nur dieser Ordner, es wird nicht vererbt)

 

Dortmund (Ebene 3) hat die gleichen Rechte wie Ebene 2

 

laufende Projekte (Ebene 4) wie Ebene 2 und 3

 

Projekt 1 (Ebene 5) hat keine Rechte für Jeden (alle rausgenommen), dafür aber Vollzugriff für Benutzer A

 

Projekt 2 (Ebene 5) ist wie Projekt 1, aber Benutzer B hat auch Vollzugriff

 

 

Geht Benutzer A nun auf den Hauptordner, sieht er Standorte, darin Dortmund, darin laufende Projekte, darin Projekt 1 und Projekt 2.

Benutzer B sieht nur Projekt 2.

 

Problem erledigt, selbst ist der Mann.

Ich finde solche Hilfeforen zwar manchmal toll und hilfreich, aber einige von den Dauerpostern sollten sich dringend überlegen, ob sie auf ein Thema antworten, wenn sie

1. die Frage nicht verstehen

2. Tips geben, nach denen gar nicht gefragt war und deren Sinn man hinterfragen kann, wenn man die Struktur des Fragestellers gar nicht kennt

3. nichts besseres zu tun haben, als Formulierungen des Fragestellers zu korrigieren

 

Viele Posts zu haben heißt nicht unbedingt, dass man Ahnung hat, sondern nur, dass man viele Antworten gibt.

bearbeitet 10. April 2013 von Broco

[iDiddi 27]

@Broco: Schön, dass Dein Problem gelöst ist, aber was Du da schreibst, kann so nicht ganz stimmen.

 

Wenn Du einem User Zugriffsrechte nur auf einem Unterorder gewährst, werden sicherlich nicht automatisch auch die übergeordneten Ordner angepasst. Vererbung funktioniert nur von oben nach unten. Selbst, wenn Du ABE (Zugriffsbasierte Auflistung) aktiviert hast.

 

Du solltest noch mal überlegen, ob Du hierbei nicht was durcheinander gebracht hast und Du evtl. selbst die Berechtigungen bei User A angepasst hast.

 

Standorte (Ebene 2) ist hat spezielle Berechtigungen für Jeden, aber keine generelle Leseerlaubnis (das heißt: nur dieser Ordner, es wird nicht vererbt)

 

Dortmund (Ebene 3) hat die gleichen Rechte wie Ebene 2

 

laufende Projekte (Ebene 4) wie Ebene 2 und 3

 

Projekt 1 (Ebene 5) hat keine Rechte für Jeden (alle rausgenommen), dafür aber Vollzugriff für Benutzer A

 

Projekt 2 (Ebene 5) ist wie Projekt 1, aber Benutzer B hat auch Vollzugriff

 

Das, was Du gemacht hast, ist die einzige mir bekannte Möglichkeit, sich durch Ordner zu hangeln, auf die man keine NTFS-Berechtigungen hat (Traverse Folders). Es sei denn, Microsoft hat da neuerdings was geändert bzw. automatisiert, was ich stark bezweifle.

 

Nicht umsonst gibt es darüber zahlreiche Beiträge von Leuten, die von Novell auf Windows umgestiegen sind. Die haben das nämlich als erstes vermisst. Beispiel gefällig?

 

http://serverfault.com/questions/31754/setting-windows-acls-to-allow-sub-subdirectory-access

 

Ich finde solche Hilfeforen zwar manchmal toll und hilfreich, aber einige von den Dauerpostern sollten sich dringend überlegen, ob sie auf ein Thema antworten, wenn sie

1. die Frage nicht verstehen

2. Tips geben, nach denen gar nicht gefragt war und deren Sinn man hinterfragen kann, wenn man die Struktur des Fragestellers gar nicht kennt

3. nichts besseres zu tun haben, als Formulierungen des Fragestellers zu korrigieren

 

Viele Posts zu haben heißt nicht unbedingt, dass man Ahnung hat, sondern nur, dass man viele Antworten gibt.

 

Bevor Du uns hier eine Moralpredigt hältst, solltest Du Deine Problembeschreibung lieber mal sorgfältiger formulieren. Ich kann nach zig Beiträgen von Dir immer noch nur erahnen, wann Du Freigabeberechtigungen angepasst hast und wann NTFS-Berechtigungen.

 

Hier z.B:

 

Ich gebe den Ordner "Freigaben" mit Leserechten für "Jeder" frei und in dem Ordner Freigaben ist der Ordner Buchhaltung.

Ich lösche die Leseberechtigungen für "Jeder" im Ordner Buchhaltung und Erstelle eine Berechtigung mit Vollzugriff für die Gruppe Buchhaltung auf den Ordner.

Hast Du jetzt im freigegebenen Ordner noch eine Freigabe? Zumindest schließt Du das mit Deiner Formulierung nicht aus.

 

Genau darauf wollte der von Dir kritisierte Expert Member vermutlich hinaus!

 

Ich will jetzt echt nicht patzig werden, aber ich will einfach nur die Antwort auf meine Frage und nicht in jedem Post die Grundstruktur meines Problems neu erläutern oder den Aufbau der Struktur rechtfertigen.

Wenn wir Dir hier Fragen stellen, dann hat das schon seine Gründe, auch wenn Dir nicht klar ist, worauf wir hinaus wollen. Wie gesagt, wichtig ist, dass Du Dein Anliegen so genau wie nur möglich vorträgst. Sonst wird es schwer, Dir kompetent zu helfen.

 

Ich gebe den Ordner "Freigaben" mit Leserechten für "Jeder" frei

Da Dir ja das Rechtekonzept von Microsoft bekannt ist, wirst Du sicherlich wissen, dass vom höchsten NTFS-Recht und höchstem Freigabe-Recht im Endeffekt das kleinere Recht gewinnen wird. In Deinem Fall, da Du auf Freigabeebene ja NUR Leserechte vergeben hast, haben Deine User auf alles NUR Leserechte ;)

 

Edit: Ich weiß immer noch nicht, warum das mit der Aufwärtsvererbung spezieller Berechtigungen nicht funktioniert hat

Noch mal: Von einer Aufwärtsvererbung habe ich noch nie was gehört. Evtl. hast Du danach irgendwann die Standardberechtigungen angepasst oder die Vererbung raus genommen. Hat vielleicht was mit Ersteller/Besitzer, Authentifizierte Benutzer oder Jeder zu tun, die danach entfernt wurden?

 

Edit: Wird hier übrigens sehr schön erklärt:

 

http://www.fileserver-tools.com/2012/08/windows-berechtigungen-optimal-setzen-2/

bearbeitet 11. April 2013 von iDiddi

[Broco 0]

@iDiddi:

 

Naja, ich hatte den Aufbau der Struktur im ersten Post schon vereinfacht skizziert, aber das ist jetzt nicht mehr so wichtig.

 

Du hattest aber wohl Recht, ich habe wohl für diesen einen User die Rechte einzeln gesetzt, habe in letzter Zeit so viele Projekt gleichzeitig gemacht, dass ich das vergessen habe. Zumindest habe ich auch nach weiterer gründlicher Recherche keinen Hinweis auf eine Aufwärtsvererbung gefunden, von daher hast du definitiv Recht.

 

Der Link ist sehr hilfreich, danke dafür, das ist genau das, was ich brauche, um die zum Teil merkwürdigen Verhaltensweisen von Windows zu durchschauen :-P

Ich habe den Windows Server nur installiert, weil ich wahrscheinlich bald den Arbeitgeber wechsle und ich meinem Nachfolger ein einfacher zu administrierendes System hinterlassen wollte als ein mit eigenen Scripten aufgepimptes Linux (obwohl das einfach nur super läuft seit Jahren).

Windows ist einfach nicht meine Welt, viel zu bullig und schwer skalierbar alles.

Trotzdem danke für die Hilfe.

[iDiddi 27]

Kein Problem :)

 

Das ist alles eine Frage der Übung und Erfahrung. Du hast sicherlich auch eine Weile gebraucht, bis Du Linux so verstanden hast, wie Du es jetzt tust.

 

Dann mal viel Erfolg beim neuen AG.