Jump to content
AlbertMinrich

Fragen zu NTFS-Berechtigungen (Vererbung deaktivieren)?

Empfohlene Beiträge

Hallo,

 

in diversen NTFS-BestPractises liest man immer wieder, dass man die Vererbung möglichst nicht unterbrechen soll. Solange man in tieferliegenden Ordnern nur zusätzliche Berechtigungen vergibt, kein Problem, aber wie soll man Berechtigungen wegnehmen, ohne die Vererbung zu deaktivieren?

 

Beispiel:

Es gibt die Freigabe \\Server1\Einkauf
Freigabeberechtigung: Jeder:Modify
NTFS-Berechtigung: Gruppe Einkauf:Modify
 
Unterhalb gibt es u.a. den Unterordner:  \Leitung
 
Die Gruppe EinkaufLeitung soll auf den Ordner Leitung Modify-Berechtigung haben, die Gruppe Einkauf keine Berechtigung.
 
Wie soll das gehen, ohne die Vererbung zu deaktivieren? Mir fällt dazu nur folgendes ein:
- ich erstelle einen Pseudo-Ordner \\Server01\Einkauf\Pseudo, auf diesen verweigere ich der Gruppe Einkauf den Zugriff
- in diesen Pseudo-Ordner kommt der Ordner Leitung, also \\Server01\Einkauf\Pseudo\Leitung
- auf den Ordner \\Server01\Einkauf\Pseudo\Leitung bekommt die Gruppe EinkaufLeitung Modify-Berechtigung
 
Ich hab´s jetzt zwar nicht ausprobiert, aber da ein explizites Allow Vorrang hat vor einem geerbten Deny, sollte es funktionieren.
Aber schön finde ich das nicht.
 
Hat jemand eine andere Idee?
 
Danke und Gruß
Martin 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Man vergibt auf dem oberen Ordner immer nur "Nur dieser Ordner"-Rechte. Das wird dann zwar ggf. etwas aufwändiger in Abhängigkeit deiner Struktur, aber man unterbricht nirgends die Vererbung.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Man vergibt auf dem oberen Ordner immer nur "Nur dieser Ordner"-Rechte. Das wird dann zwar ggf. etwas aufwändiger in Abhängigkeit deiner Struktur, aber man unterbricht nirgends die Vererbung.

Na ja, das bedeutet, ich (der Admin) muss die Berechtigungen für jeden Ordner unterhalb von \\Server01\Einkauf pflegen. Eigentlich stelle ich ja der Gruppe Einkauf den Ordner Einkauf zur Verfügung, damit sie sich darunter ihre eigene Ordnerstruktur einrichten kann. Wenn ich dann für jeden Ordner, der direkt unterhalb von Einkauf liegt, erst die Berechtigungen anpassen muss, ist das ja auch nicht Sinn der Sache.

 

Ausserdem bleibt das Problem letztendlich das gleiche.

Mal angenommen, ich mach es so wie du sagst, also  auf \\Server01\Einkauf\Leitung hat nur die Gruppe EinkaufLeitung Zugriff. Jetzt kommt nächste Woche die Anforderung, dass auf den Ordner \\Server01\Einkauf\Leitung\ObersteLeitung   die Gruppe EinkaufObersteLeitung Modify-Berechtigung haben soll, die Gruppe EinkaufLeitung keinen Zugriff.

Damit stehe ich wieder vor dem gleichen Problem. Zugegeben, ein recht konstruiertes Problem, aber kann man es lösen, rein technisch gesehen?

 

Danke

Martin 

bearbeitet von AlbertMinrich

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen.

 

Bye

Norbert

 

PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben?

bearbeitet von NorbertFe

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen.

 

Bye

Norbert

 

PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben?

 

Die Berechtigungen werden auf jeden Fall von der IT-Abteilung gepflegt. Wenn man das die User machen lässt, das gibt nur Chaos.

 

Und ich geb dir ja recht, man sollte die Struktur von vornherein so aufbauen, dass danach keine Änderungen mehr notwendig sind. Bloss in der Praxis wird das nicht immer möglich sein.

Auf mein Beispiel bezogen, könnte ich natürlich auch den Ordner ObersteLeitung eine Ebene nach oben holen, dann gäbe es

\\Server01\Einkauf\Leitung

und

\\Server01\Einkauf\ObersteLeitung

 

Ist vielleicht die beste Lösung, aber vielleicht hat ja trotzdem noch jemand eine "schöne" technische Lösung, bei der der Ordner dort bleiben kann, wo er ist.

Es handelt sich übrigens nicht um eine Schulaufgabe, sondern um ein Problem aus der Praxis, vor dem wir immer wieder mal stehen. Bisher haben wir in diesen Fällen an dieser Stelle die Vererbung deaktiviert, aber das soll man ja nicht machen.

 

Gruß

Martin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ist doch aber einfach. Du gibst unterhalb die Rechte für die entsprechenden Ordner und auf dem Obersten Ordner setzt du "nur dieser Ordner". Dann ist der eine Ordner nach Entfernen der vererbbaren Berechtigungen nicht mehr berechtigt und kann dediziert berechtigt werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. Dann kannst Du auf beide Ordner unterschiedliche Rechte vergeben.

Oder Du nutzt Einkauf als Container mit zwei Unterordnern Leitung und Team mit unterschiedlichen Berechtigungen. Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

...nach Entfernen der vererbbaren Berechtigungen...

So haben wir es ja bisher gemacht. Aber, wie man immer wieder liest, soll man das ja nicht. Versteh ich ja auch. Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht. Außer man hat eine gute Doku oder entsprechende Tools.

 

Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. ... Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden.

Ja, hab ich ja auch in meiner zweiten Antwort schon so geschrieben, dass das eine mögliche (und vielleicht auch die beste) Lösung ist.

 

Zwei andere mögliche Lösungen hab ich auch schon geschrieben,

- Vererbung deaktivieren

- "meine" Pseudo-Ordner Lösung

die aber nicht empfohlen bzw. nicht "schön" sind.

 

Deshalb nochmal die Frage: Gibt´s eine schöne technische Lösung, bei der der Ordner bleiben kann, wo er ist?

 

Gruß

Martin

bearbeitet von AlbertMinrich

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wieso soll man nicht? Entweder du entfernst die vererbbaren Berechtigungen oder du unterbrichst die Vererbung. Das sind zwei Möglichkeiten. Und die dritte hat dir Daniel genannt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wieso soll man nicht? Entweder du entfernst die vererbbaren Berechtigungen oder du unterbrichst die Vererbung. Das sind zwei Möglichkeiten. Und die dritte hat dir Daniel genannt.

Um die vererbbaren Berechtigungen entfernen zu können, muss ich die Vererbung unterbrechen, das ist also das gleiche. Und wieso man das nicht soll, hab ich schon geschrieben:

"Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht."

 

Und man liest es immer wieder.

Z.B. hier

http://www.fileserver-tools.com/2012/08/windows-berechtigungen-optimal-setzen-2/   unter Punkt 6: " Die Vererbung zu unterbrechen ist ganz schlechter Stil, weswegen man das nur in ganz seltenen Ausnahmefällen machen sollte"

 

Aber es gibt wohl auch andere Meinungen.

Ich möchte hier gar keine Grundsatzdiskussion entfachen.

 

Vielen Dank für alle Antworten

Gruß

Martin

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nein das ist nicht das gleiche. Und solange du den Unterschied nicht findest, wird's schwierig. ;)

Ich glaub, wir meinen schon das gleiche. Die geerbten Berechtigungen kann man nur entfernen, wenn man die Vererbung deaktiviert. Ich denke, da sind wir uns einig. Beim Deaktivieren der Vererbung kann man die bisher geerbten Berechtigungen übernehmen. Die effektiven Berechtigungen auf den Ordner sind dann erstmal genauso, wie vor der Deaktivierung. Nur, dass sie nicht mehr geerbt, sondern explizit gesetzt sind.

Falls du was anderes meinst, klär mich doch bitte auf.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nein wir meinen nicht das gleiche.

OK, danke für die Aufklärung.

Vielleicht fällt ja noch jemanden was ein, der etwas mitteilungsfreudiger ist.  ;)

bearbeitet von AlbertMinrich

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

ob man nicht doch Abweichler sein kann? Abweichen von (Nicht)Empfehlungen?

 

Natürlich muss man da den Überblick behalten, es wohl dokumentieren. Und das Dokument darf nicht abgeheftet in Vergessenheit geraten.

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×