Jump to content

Freigaberechte und NTFS-Rechte richtig vergeben


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Meine Weiterbildungen basieren auf Windows Server 2003. Nachdem ich aber einige Jahre lang nicht mit Microsoft-Systemen gearbeitet habe und ich jetzt einen 2008 R2 vor mir habe, mangelt es mir ein bisschen an Wissen. Ich habe diesen Server in einer kleinen AD-Domäne von einem anderen Admin "geerbt", der vor meinem Beginn schon weg war und vieles funktioniert nicht so, wie ich es gewohnt bin. Ich habe ein Problem mit Freigaben und möchte euch das mal fragen.

 

Es geht um ein Verzeichnis, welches freigegeben werden soll, ich nenne es mal \users. Darunter liegen die User-Verzeichnisse, also etwa \users\schweizerin. Das Verzeichnis \users wird als F-USERS mit JEDER DARF ALLES freigegeben. So habe ich das bei 2003 gelernt, also dass Rechte im NTFS festgelegt werden. Passt das noch so, also macht man das heute immer noch so (Freigabe für alle, NTFS-Rechte nach Bedarf)?

 

Es geht jetzt um die NTFS-Rechte. Dabei sei erwähnt, dass die Gruppe U-USERS alle User wie zum Beispiel SCHWEIZERIN enthält. Ziel soll sein, dass (1) jeder der Gruppe U-USERS die Freigabe F-USERS lesen darf und er dann nur auf sein persönliches Verzeichnis zugreifen kann. Weiterhin soll, wenn ich einen neuen User anlege endlich der Fehler verschwinden, dass das Verzeichnis \users\neueruser nicht angelegt werden kann. Bisher musste ich das Unterverzeichnis immer von Hand anlegen und anschließend von Hand dem User sein Verzeichnis erlauben, sonst waren immer nur die Domänen-Admins und SYSTEM berechtigt.

 

Welche NTFS-Rechte gebe ich auf \users und welche muss ich ggf. noch auf \users\schweizerin erteilen?

 

Welchen Buchtipp würdet ihr mir dafür noch geben?

Link to comment

Hallo Schweizerin,

 

suche mal nach UAC oder Benutzerkontensteuerung.

 

Wie Du Rechte auf einem Fileserver optimal vergibst, kannst Du hier nachlesen:

 

http://www.fileserver-tools.com/2012/08/windows-berechtigungen-optimal-setzen-2/

 

Da gibts aber auch Empfehlungen von Microsoft. Einfach mal über Google suchen. Hier z.B.:

 

http://technet.microsoft.com/de-de/library/cc754178.aspx

Edited by iDiddi
Link to comment

Im Prinzip ist das mit den Rechten einfach. Je mehr man sich in die Details stuerzt entdeckt man das es doch ziemlich schei*e organisiert ist :)

Z.B kommt system auf genug Ordner nicht rein, was man erst zu spaet merkt. Das mit dem allow/deny kann auch kompliziert werden. wenn man es nicht sauber definiert.

 

Dieser Artikel ist vielleicht eine gute Zusammenfassung zum Thema:

 

http://www.windowsecurity.com/articles-tutorials/authentication_and_encryption/Understanding-Windows-NTFS-Permissions.html

Link to comment
  • 4 weeks later...

Die genannten Links helfen mir nicht, das was dort erwähnt wird ist nur für Noobs gedacht, die damit noch wie was zu tun hatten. Ich erfahre da zum Beispiel nicht, dass der Besitzer durch die Gruppe "Administratoren" ersetzt werden muss, damit User bei erstmaligen Anmeldeprozessen ihre Nutzerverzeichnisse auf dem Server oder am lokalen Rechner anlegen können.

 

Jetzt habe ich wieder ein konkretes Problem. Eine Gruppe von Benutzern hat Server-gespeicherte Profile. Da gibt es immer wieder Probleme ("es wird ein temporäres Profil angelegt, weil es nicht vom Server kopiert werden kann") und mein Vorgänger hat das dann so gelöst, dass er das Server-gespeicherte Profil beim betreffenden User einfach abgeschaltet hat, was natürlich zu Datenchaos geführt hat. Welche Rechte müssen am Ordner \profile anliegen, damit bei einer Erstanmeldung das Profil unter \profile\username angelegt wird?

 

Demnächst wird das eh alles geändert und Server-gespeicherte Profile werden abgeschafft, aber im Moment muss ich damit leben.

Link to comment

Ich glaube Du brauchst das für Deine Freigabe:

 

    Share Permissions:
        Everyone – Full Control
        Administrators – Full Control
        System – Full Control
    NTFS Permissions:
        Everyone - Create Folder/Append Data (This Folder Only)
        Everyone - List Folder/Read Data (This Folder Only)
        Everyone - Read Attributes (This Folder Only)
        Everyone - Traverse Folder/Execute File (This Folder Only)
        CREATOR OWNER - Full Control (Subfolders and Files Only)
        System - Full Control (This Folder, Subfolders and Files)
        Domain Admins - Full Control (This Folder, Subfolders and Files)



Damit werden User-Verzeichnisse beim ersten Anmelden auf nem Share angelegt.

Admin hat Vollzugriff und die User jeweils nur auf ihr eigenes Verzeichnis.

Oder habe ich deine Aufgabenstellung falsch verstanden ?

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...