Jump to content

Freigabe- und NTFS-Berechtigungen

akeihra

By akeihra
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

akeihra Contributor

akeihra   10

Posted
Posted (edited)

Hallo zusammen,

 

ich stehe vor einer Herausforderung, wahrscheinlich, weil ich den Wald vor lauter Bäumen nicht mehr sehe...

 

Folgendes Szenario:

- Windows Server 2012 R2 als Dateiserver

- AD unter Windows Server 2003 (leider noch...)

- Benutzer aus den verschiedenen Bereichen sind (hier mal beispielhaft) in globale Gruppen wie folgt Mitglied:

User A --> Globale Gruppe Standort1_Abteilung1

User B --> Globale Gruppe Standort2_Abteilung1

User C --> Globale Gruppe Standort2_Abteilung2

- Globale Gruppen sind Mitglied von domänenlokalen Gruppen wie folgt:

Globale Gruppe Standort1_Abteilung1 --> Zentralablage_Standort1_RW (Read/Write)

Globale Gruppe Standort2_Abteilung1 --> Zentralablage_Standort1_RO (Read Only)

Globale Gruppe Standort2_Abteilung2 --> Zentralablage_Standort1_RO (Read Only)

 

Auf dem Dateiserver ist eine Freigabe namens Zentralablage und darunter ein Unterordner Standort1, Standort2, etc.

Erreicht werden soll, dass nur die User, die in der Abteilung des jeweiligen Standortes sind, schreibenden Zugriff auf den entsprechenden Ordner haben, alle anderen User der anderen Standorte dürfen allerdings lesend zugreifen (so wünscht sich das derjenige, der das bei mir in Auftrag gegeben hat).

 

Ich habe den Ordner Zentralablage freigegeben für Jeder (Vollzugriff), NTFS-Berechtigungen habe ich so gelassen, wie sie waren, dem Standort-Ordner habe ich dann die NTFS Berechtigungen für die beiden domänenlokalen Gruppen gegeben, jeweils "Ändern", bzw. "Lesen". Vererbung ist deaktiviert.

 

Jetzt habe ich einen Testuser genommen und den in die Globale Gruppe Standort2_Abteilung1 geschoben und wollte in dem Ordner "Standort1" testen, ob er schreibenden Zugriff hat. Ich habe dafür ein Textdokument angelegt und siehe da: obwohl ich der Globalen Gruppe über die domänenlokale Gruppe nur lesende Rechte gegeben habe, kann er Dateien in den Ordner erstellen und auch löschen. Hat das was mit den Ersteller/Besitzer Rechten zu tun? Wie kann ich unterbinden, dass DL-Gruppen mit lesendem Zugriff Dateien erstellen können?

 

Ich weiß langsam nicht mehr weiter, was übersehe ich?

 

Gruß, Lea


 

Edit: Nachdem ich jetzt lange lange lange daran gehangen habe, habe ich endlich eine Lösung gefunden, die zu den Anforderungen passt...

Die Gruppen bleiben so, wie sie sind. Ich habe nun folgende NTFS-Berechtigungen für den Ordner Standort1, dessen Unterordner und Dateien hinzugefügt:

 

- Ersteller/Besitzer --> gelöscht

Zentralablage_Standort1_RW --> Erlauben Vollzugriff

Zentralablage_Standort1_RO --> Verweigern Dateien/Ordner erstellen, Löschen, alles, was man eben ausschließen will (in den erweiterten Berechtigungen)

 

:)

Edited by akeihra
NilsK Grand Master

NilsK   3,061

Posted
Posted

Moin,

 

wenn du die NTFS-Berechtigungen so gelassen hast, wie sie waren, existierten ja wahrscheinlich auch noch Berechtigungen, die zum Schreiben oder Erstellen berechtigten. Die musst du natürlich entfernen.

 

Meist schaltet man auf dem "ersten" Ordner die Vererbung ab und trägt dann nur die wirklich zu berechtigenden Gruppen ein, in deinem Fall also die RW-Gruppen mit Schreibzugriff und die RO-Gruppen mit Leserecht. Zusätzlich kann man noch die Administratoren aufnehmen, damit sie - wenn gewünscht - leichter administrieren können.

 

Verweigern solltest du nur im extremen Ausnahmefall. Da Verweigern die anderen Rechte übersteuert, kommt es sonst schnell zu unerwünschten Effekten.

 

Gruß, Nils

akeihra Contributor

akeihra   10

Posted
  • Author
Posted (edited)

Hallo Nils,

 

vielen Dank für deinen Tipp!

 

Ich dachte eigentlich, dass wenn ich einer DL-Gruppe nur Leserechte gebe, die auch nur lesen darf, aber da scheine ich mich geirrt zu haben. Ich hatte es ja erst so aufgebaut, dass eben nichts verweigert wird sondern Lesen erlaubt wird. Und trotzdem konnten alle Nutzer, die über die Freigabeberechtigungen Vollzugriff auf den übergeordneten Ordner hatten, trotz der NTFS-Berechtigung Lesen auf das Laufwerk schreiben...

Mittlerweile muss ich auch noch dazu sagen, dass ich die Freigabeberechtigung "Jeder (Vollzugriff)" wieder gelöscht habe und alle globalen Gruppen in eine separate domänenlokale Gruppe gesteckt, die Vollzugriff auf die Freigabe erhält. Außerdem habe ich von Anfang an die Vererbung deaktiviert und alle Berechtigungen außer System, Domänen-Admins und lokale Admins gelöscht. 

 

Schematisch sieht das ganze bei mir jetzt so aus:

 

Zentralablage

Freigabeberechtigung                         domänenlokale Gruppe "Zentralablage" -> enthält alle globalen Gruppen "StandortX_AbteilungX"

NTFS-Berechtigung                            nichts verändert

 

Unterordner Standort

Freigabeberechtigung                         -

NTFS-Berechtigung                             System (Vollzugriff), Domänen-Admins (Vollzugriff), lokale Admins (Vollzugriff), Standort-RW Gruppe (Vollzugriff), Standort-RO (Erlauben Lesen, Verweigerung bestimmter

Berechtigungen)

 

Anders hat es bei mir irgendwie nicht funktioniert :(

Edited by akeihra
daabm Grand Master

daabm   1,436

Posted
Posted

Da wäre mal ein "icacls <Ordner>" interessant - und: Sind Deine User lokale Admins auf dem Arbeitsplatz? Dann sind sie nämlich auch "lokale Admins" auf dem Server (S-1-5-32-544)...

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Go to topic listing


×
×
  • Create New...