akeihra 10 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 (bearbeitet) Hallo zusammen, ich stehe vor einer Herausforderung, wahrscheinlich, weil ich den Wald vor lauter Bäumen nicht mehr sehe... Folgendes Szenario: - Windows Server 2012 R2 als Dateiserver - AD unter Windows Server 2003 (leider noch...) - Benutzer aus den verschiedenen Bereichen sind (hier mal beispielhaft) in globale Gruppen wie folgt Mitglied: User A --> Globale Gruppe Standort1_Abteilung1 User B --> Globale Gruppe Standort2_Abteilung1 User C --> Globale Gruppe Standort2_Abteilung2 - Globale Gruppen sind Mitglied von domänenlokalen Gruppen wie folgt: Globale Gruppe Standort1_Abteilung1 --> Zentralablage_Standort1_RW (Read/Write) Globale Gruppe Standort2_Abteilung1 --> Zentralablage_Standort1_RO (Read Only) Globale Gruppe Standort2_Abteilung2 --> Zentralablage_Standort1_RO (Read Only) Auf dem Dateiserver ist eine Freigabe namens Zentralablage und darunter ein Unterordner Standort1, Standort2, etc. Erreicht werden soll, dass nur die User, die in der Abteilung des jeweiligen Standortes sind, schreibenden Zugriff auf den entsprechenden Ordner haben, alle anderen User der anderen Standorte dürfen allerdings lesend zugreifen (so wünscht sich das derjenige, der das bei mir in Auftrag gegeben hat). Ich habe den Ordner Zentralablage freigegeben für Jeder (Vollzugriff), NTFS-Berechtigungen habe ich so gelassen, wie sie waren, dem Standort-Ordner habe ich dann die NTFS Berechtigungen für die beiden domänenlokalen Gruppen gegeben, jeweils "Ändern", bzw. "Lesen". Vererbung ist deaktiviert. Jetzt habe ich einen Testuser genommen und den in die Globale Gruppe Standort2_Abteilung1 geschoben und wollte in dem Ordner "Standort1" testen, ob er schreibenden Zugriff hat. Ich habe dafür ein Textdokument angelegt und siehe da: obwohl ich der Globalen Gruppe über die domänenlokale Gruppe nur lesende Rechte gegeben habe, kann er Dateien in den Ordner erstellen und auch löschen. Hat das was mit den Ersteller/Besitzer Rechten zu tun? Wie kann ich unterbinden, dass DL-Gruppen mit lesendem Zugriff Dateien erstellen können? Ich weiß langsam nicht mehr weiter, was übersehe ich? Gruß, Lea Edit: Nachdem ich jetzt lange lange lange daran gehangen habe, habe ich endlich eine Lösung gefunden, die zu den Anforderungen passt... Die Gruppen bleiben so, wie sie sind. Ich habe nun folgende NTFS-Berechtigungen für den Ordner Standort1, dessen Unterordner und Dateien hinzugefügt: - Ersteller/Besitzer --> gelöscht - Zentralablage_Standort1_RW --> Erlauben Vollzugriff - Zentralablage_Standort1_RO --> Verweigern Dateien/Ordner erstellen, Löschen, alles, was man eben ausschließen will (in den erweiterten Berechtigungen) :) bearbeitet 8. Januar 2015 von akeihra Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 8. Januar 2015 Melden Teilen Geschrieben 8. Januar 2015 Moin, wenn du die NTFS-Berechtigungen so gelassen hast, wie sie waren, existierten ja wahrscheinlich auch noch Berechtigungen, die zum Schreiben oder Erstellen berechtigten. Die musst du natürlich entfernen. Meist schaltet man auf dem "ersten" Ordner die Vererbung ab und trägt dann nur die wirklich zu berechtigenden Gruppen ein, in deinem Fall also die RW-Gruppen mit Schreibzugriff und die RO-Gruppen mit Leserecht. Zusätzlich kann man noch die Administratoren aufnehmen, damit sie - wenn gewünscht - leichter administrieren können. Verweigern solltest du nur im extremen Ausnahmefall. Da Verweigern die anderen Rechte übersteuert, kommt es sonst schnell zu unerwünschten Effekten. Gruß, Nils Zitieren Link zu diesem Kommentar
akeihra 10 Geschrieben 8. Januar 2015 Autor Melden Teilen Geschrieben 8. Januar 2015 (bearbeitet) Hallo Nils, vielen Dank für deinen Tipp! Ich dachte eigentlich, dass wenn ich einer DL-Gruppe nur Leserechte gebe, die auch nur lesen darf, aber da scheine ich mich geirrt zu haben. Ich hatte es ja erst so aufgebaut, dass eben nichts verweigert wird sondern Lesen erlaubt wird. Und trotzdem konnten alle Nutzer, die über die Freigabeberechtigungen Vollzugriff auf den übergeordneten Ordner hatten, trotz der NTFS-Berechtigung Lesen auf das Laufwerk schreiben... Mittlerweile muss ich auch noch dazu sagen, dass ich die Freigabeberechtigung "Jeder (Vollzugriff)" wieder gelöscht habe und alle globalen Gruppen in eine separate domänenlokale Gruppe gesteckt, die Vollzugriff auf die Freigabe erhält. Außerdem habe ich von Anfang an die Vererbung deaktiviert und alle Berechtigungen außer System, Domänen-Admins und lokale Admins gelöscht. Schematisch sieht das ganze bei mir jetzt so aus: Zentralablage Freigabeberechtigung domänenlokale Gruppe "Zentralablage" -> enthält alle globalen Gruppen "StandortX_AbteilungX" NTFS-Berechtigung nichts verändert Unterordner Standort Freigabeberechtigung - NTFS-Berechtigung System (Vollzugriff), Domänen-Admins (Vollzugriff), lokale Admins (Vollzugriff), Standort-RW Gruppe (Vollzugriff), Standort-RO (Erlauben Lesen, Verweigerung bestimmter Berechtigungen) Anders hat es bei mir irgendwie nicht funktioniert :( bearbeitet 9. Januar 2015 von akeihra Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Da wäre mal ein "icacls <Ordner>" interessant - und: Sind Deine User lokale Admins auf dem Arbeitsplatz? Dann sind sie nämlich auch "lokale Admins" auf dem Server (S-1-5-32-544)... Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 9. Januar 2015 Melden Teilen Geschrieben 9. Januar 2015 Moin, Sind Deine User lokale Admins auf dem Arbeitsplatz? Dann sind sie nämlich auch "lokale Admins" auf dem Server (S-1-5-32-544)... wie meinen? Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 10. Januar 2015 Melden Teilen Geschrieben 10. Januar 2015 Nils,vergiß es - ich werd alt... Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 11. Januar 2015 Melden Teilen Geschrieben 11. Januar 2015 Moin, naja, das Schicksal ereilt uns ja alle. ;) Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.