luxactor 0 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Sehr geehrtes Forum, sehr geehrte Windows Server Experten, ich stehe momentan vor einem Problem bei der Vergabe der Dateirechte bei einem Windows Server 2012 Foundation. Der Server fungiert nur als Dateiserver, es existieren mehrere Freigaben, mehrere benutzeraccounts die jeweils auf die Freigaben zugreifen dürfen oder nicht. Das funktioniert auch alles perfekt, nur muss jetzt eine Möglichkeit her, wie z.B. ein benutzer, der auf den Hauptordner keinen Zugriff, auf Unterordner bzw. Unter-Unterordner zugreifen kann. Ist es irgendwie lösbar, ohne extra viele Freigaben für die jeweiligen Unterordner zu machen? Ich wäre für jede Hilfe dankbar. Falls noch mehr Informationen über die EInrichtung des Servers erforderlich sind, poste ich diese hier gerne. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 eyeyey aber erstmal herzlich Willkommen an Board. Dein Stichwort heißt "Vererbung" Ein user, der auf einem Ordner keine Rechte hat, der kann diesen nicht "durchqueren" um an einem Unterordner, den er sehen darf was zu machen. Also am Oberordner die Vererbung nach unten deaktivieren und das Recht "ordnerinhalt anzeigen" vergeben am Unterordner die REchte vergeben, die Du lustig bist. AAAber davon rate ich ab! Du verzettelst Dich mit solchen Konstrukten. Halte das System möglichst flach. Alles andere endet im Chaos (obwohl, wenn ich Dein Benutzerbild betrachte: das solltest Du können - kleiner Scherz) Nein ich rate Dir: ein Ordner: Daten ein Unterordner Arbeitsgruppe1 mit Freigabe für die Gruppe Arbeitsgruppe1 etc Keine Unterfreigaben alles was da nicht reinpasst wird neu angelegt Gib dieses System erst möglichst spät auf und wenn dann dokumentiere gut. Viel Spaß Michael Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Vererbung deaktivieren ist keine sehr übersichtliche Lösung auf Dauer. Besser wäre die view rechte nur auf den Ordner zu vergeben. Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 4. Februar 2014 Melden Teilen Geschrieben 4. Februar 2014 Stimmt, der Rest meiner Aussage bleibt meiner Meinung nach aber bestehen. Zitieren Link zu diesem Kommentar
luxactor 0 Geschrieben 5. Februar 2014 Autor Melden Teilen Geschrieben 5. Februar 2014 Danke erstmal für die Antworten. So wie ich das verstehe soll ich einfach den Unterordnern die z.B im Ordner Docs sich befinden (z.B. ein Ordner unter \\Server\Docs\Kunden\Dokumente\HermannBeispiel) die View Rechte der jeweiligen Person vergeben und dann einfach über den Ordner unter "Netzwerk" suchen auf dem Server? Ich glaube nicht dass das funktioniert, da ja der Hauptordner keine Rechte für diese Person aufweist, weil ich doch die Vererbung nicht deaktivieren soll. Ich bin leicht durcheinander. ;) Zitieren Link zu diesem Kommentar
tomdiver 11 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 (bearbeitet) Hallo und herzlich willkommen, eine Möglichkeit wäre die Verwendung zugriffsbasierter Aufzählung. Du erstellst ein Verzeichnis, welches du freigibst (Freigabeberechtigung zum Beispiel 'Ändern' für alle betroffenen Benutzer, NTFS-Berechtigung irgendwas mit lesen für alle Benutzer). Bei dieser Freigabe stellst du die zugriffsbasierte Aufzählung ein. Darunter legst du die Verzeichnisse für die Benutzer mit entsprechenden Berechtigungen an. Verbindet sich ein Nutzer mit der Freigabe, sieht er nur die Verzeichnisse, auf die er auch explizite Rechte hat. Sicherlich ist das mit dem Setzen der Berechtigungen aufwändig, aber irgend etwas ist ja immer. Wenn du das vereinfachen möchtest, vergibst du auf dem ersten (freigegebenen) Ordner bei den NTFS-Berechtigungen den Benutzern die Möglichkeit, Ordner zu erstellen (hier explizit auswählen 'Nur in diesem Ordner') und Ersteller-Besitzer Vollzugriff auf Unterordner und Dateien. Dann kann der Benutzer bei der ersten Verbindung sich seinen Ordner selbst anlegen und dann darin machen was er will. Gruß Thomas PS: Das Verwenden von Gruppen für die Berechtigungen wäre empfehlenswert, falls du Verzeichnisse für mehr als einen Benutzer zur Verfügung stellen möchtest :wink2: bearbeitet 5. Februar 2014 von tomdiver Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 (bearbeitet) Danke erstmal für die Antworten. So wie ich das verstehe soll ich einfach den Unterordnern die z.B im Ordner Docs sich befinden (z.B. ein Ordner unter \\Server\Docs\Kunden\Dokumente\HermannBeispiel) die View Rechte der jeweiligen Person vergeben und dann einfach über den Ordner unter "Netzwerk" suchen auf dem Server? Ich glaube nicht dass das funktioniert, da ja der Hauptordner keine Rechte für diese Person aufweist, weil ich doch die Vererbung nicht deaktivieren soll. Ich bin leicht durcheinander. ;) Hi, der Satz hier "\\Server\Docs\Kunden\Dokumente\HermannBeispiel" deutet auf ein Missverständniss. Also: der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen. Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben. ODER: Du möchtest den Ordner "D:\Dokumente\Kunden" der Gruppe "Kunden" zur Verfügung stellen (siehe oben) ABER dem Benutzer "KundenbetreuerA" Zugriff auf den Ordner "D:\Dokumente\Kunden\KundeA" geben. OHNE dass er Zugriff auf den Ordner "D:\Dokumente\Kunden" hat und OHNE dass er Zugriff auf "D:\Dokumente\Kunden\KundeB" hat. (WARNUNG: lass es , siehe oben) Wenn Du das willst, dann: der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden" UND der User "KundenbetreurA"; NTFS-Berechtigt kann NICHT jeder Vollzugriff bekommen. Sondern nur die Gruppe "Kunden" Vollzugriff (besser: ändern) und der Benutzer "KundenbetreuerA" bekommt (siehe Post von NorbertFe) das Recht "Ordnerinhalt anzeigen" NUR FÜR DIESEN ORDNER, außerdem bekommt der user "kundenbetreuerA" das NTFS-Recht "ändern" am Ordner "KundeA" Dabei muss der Ordner "Dokumente" keine besonderen Berechtigungen haben. Du kannst den Usern die Freigabe als Laufwerk mappen, dann brauchen die nicht suchen Du siehst schon an der deutlich längeren Beschreibung, wie viel komplizierter das Verfahren ist. KISS (keep it smal and simple) ist hier missachtet. Meines Erachtens besser: der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen. der Ordner "D:\Dokumente\KundeA" ist freigegeben. Der Freigabename ist "\\Dateiserver\KundeA". Freigabe-Berechtigt ist die Gruppe "KundeA"; NTFS-Berechtigt kann jeder Vollzugriff bekommen. In der Gruppe "KundeA" ist die Gruppe "Kunden" und der User "KundenbetreuerA" uff - so das sollte reichen M bearbeitet 5. Februar 2014 von micha42 Zitieren Link zu diesem Kommentar
luxactor 0 Geschrieben 5. Februar 2014 Autor Melden Teilen Geschrieben 5. Februar 2014 Vielen Dank für die sehr ausführliche Anleitung Micha, und danke auch tomdiver. Ich werde es heute probieren umzusetzen, und werde wohl deinen zweite EInrichtungsmethode nehmen, Micha. Was ich noch bvergessen habe zu erwähnen ist, dass es auf der zweiten Freigabeebene (\\Docs\Kunden A-Z\Kundenname) ca. 300 Ordner gibt. Ich versuchs einfach. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 5. Februar 2014 Melden Teilen Geschrieben 5. Februar 2014 Meines Erachtens besser: der Ordner "D:\Dokumente\Kunden" ist freigegeben. Der Freigabename ist "\\Dateiserver\Kunden". Freigabe-Berechtigt ist die Gruppe "Kunden"; NTFS-Berechtigt kann jeder Vollzugriff bekommen. der Ordner "D:\Dokumente\KundeA" ist freigegeben. Der Freigabename ist "\\Dateiserver\KundeA". Freigabe-Berechtigt ist die Gruppe "KundeA"; NTFS-Berechtigt kann jeder Vollzugriff bekommen. In der Gruppe "KundeA" ist die Gruppe "Kunden" und der User "KundenbetreuerA" Streich mal überall VOLLZUGRIFF und ersetze es durch ÄNDERN. Das sind schon genug Rechte für Benutzer. Die müssen nicht selbst Berechtigungen setzen können. Und nutze das Gruppenprinzip. Also Rechte an Ressourcengruppen, Benutzer in Benutzergruppen und dann die Benutzergruppe in die Resourcengruppe stecken. Du wirst doch für die Benutzer KundeA vermutlich mehr als eine Ressource freigeben (Verzeichnisse, Drucker, etc.). Da hast Du eine viel größere transparenz Ich würde auch noch Ressourcen nach Zugriff trennen. Also z.B.: R_KundeA_R (Nur-Leseberechtigung auf D:\Dokumente\KundeA) R_KundeA_C (Änderungsberechtigung auf D:\Dokumente\KundeA) Dazu dann Usergruppen wie: U_KundeA U_Verwaltung U_KundeA steckst Du z.B. in R_KundeA_C, während U_Verwaltung nur in R_KundeA_R kommt (weil sie dort nichts ändern brauchen). Geht ein Benutzer und kommt ein neuer hinzu, musst Du ihn nur in die entsprechenden Usergruppe stecken und bist fertig. Bei Deinem Ansatz musst Du alle Freigaben, Ordner und Dateien nachschlagen, ob dort eventuell der alte User berechtigt ist und wenn ja, welche Rechte er dort hat. Konsequentes Gruppenmodell (AGDLP) und rollenbasierte Rechtevergabe erleichtert Dir die Arbeit enorm. Egal wie groß oder klein das Netzwerk ist. Das muss man als Admin einmal verinnerlicht haben und dann ist das todsimpel. Have fun! Daniel Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.