Jump to content

Fragen zu NTFS-Berechtigungen (Vererbung deaktivieren)?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

in diversen NTFS-BestPractises liest man immer wieder, dass man die Vererbung möglichst nicht unterbrechen soll. Solange man in tieferliegenden Ordnern nur zusätzliche Berechtigungen vergibt, kein Problem, aber wie soll man Berechtigungen wegnehmen, ohne die Vererbung zu deaktivieren?

 

Beispiel:

Es gibt die Freigabe \\Server1\Einkauf
Freigabeberechtigung: Jeder:Modify
NTFS-Berechtigung: Gruppe Einkauf:Modify
 
Unterhalb gibt es u.a. den Unterordner:  \Leitung
 
Die Gruppe EinkaufLeitung soll auf den Ordner Leitung Modify-Berechtigung haben, die Gruppe Einkauf keine Berechtigung.
 
Wie soll das gehen, ohne die Vererbung zu deaktivieren? Mir fällt dazu nur folgendes ein:
- ich erstelle einen Pseudo-Ordner \\Server01\Einkauf\Pseudo, auf diesen verweigere ich der Gruppe Einkauf den Zugriff
- in diesen Pseudo-Ordner kommt der Ordner Leitung, also \\Server01\Einkauf\Pseudo\Leitung
- auf den Ordner \\Server01\Einkauf\Pseudo\Leitung bekommt die Gruppe EinkaufLeitung Modify-Berechtigung
 
Ich hab´s jetzt zwar nicht ausprobiert, aber da ein explizites Allow Vorrang hat vor einem geerbten Deny, sollte es funktionieren.
Aber schön finde ich das nicht.
 
Hat jemand eine andere Idee?
 
Danke und Gruß
Martin 
Link zu diesem Kommentar

Man vergibt auf dem oberen Ordner immer nur "Nur dieser Ordner"-Rechte. Das wird dann zwar ggf. etwas aufwändiger in Abhängigkeit deiner Struktur, aber man unterbricht nirgends die Vererbung.

Na ja, das bedeutet, ich (der Admin) muss die Berechtigungen für jeden Ordner unterhalb von \\Server01\Einkauf pflegen. Eigentlich stelle ich ja der Gruppe Einkauf den Ordner Einkauf zur Verfügung, damit sie sich darunter ihre eigene Ordnerstruktur einrichten kann. Wenn ich dann für jeden Ordner, der direkt unterhalb von Einkauf liegt, erst die Berechtigungen anpassen muss, ist das ja auch nicht Sinn der Sache.

 

Ausserdem bleibt das Problem letztendlich das gleiche.

Mal angenommen, ich mach es so wie du sagst, also  auf \\Server01\Einkauf\Leitung hat nur die Gruppe EinkaufLeitung Zugriff. Jetzt kommt nächste Woche die Anforderung, dass auf den Ordner \\Server01\Einkauf\Leitung\ObersteLeitung   die Gruppe EinkaufObersteLeitung Modify-Berechtigung haben soll, die Gruppe EinkaufLeitung keinen Zugriff.

Damit stehe ich wieder vor dem gleichen Problem. Zugegeben, ein recht konstruiertes Problem, aber kann man es lösen, rein technisch gesehen?

 

Danke

Martin 

bearbeitet von AlbertMinrich
Link zu diesem Kommentar

Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen.

 

Bye

Norbert

 

PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben?

bearbeitet von NorbertFe
Link zu diesem Kommentar

Wenn unterhalb von Einkauf "Berechtigungen" nicht von dir verwaltet werden, was ist dann dein Problem? ;) Wer dort Berechtigungen anpassen will/muss, sollte von dir eine Einweisung erhalten, oder du stellst deine Ordnerstruktur so um, dass nur du Berechtigungen vergeben kannst, oder so dass es nicht notwendig ist, Berechtigungen anzupassen.

 

Bye

Norbert

 

PS: Reden wir hier von einer tatsächlichen Aufgabe, oder sind wir in Theorie und Schulungsaufgaben?

 

Die Berechtigungen werden auf jeden Fall von der IT-Abteilung gepflegt. Wenn man das die User machen lässt, das gibt nur Chaos.

 

Und ich geb dir ja recht, man sollte die Struktur von vornherein so aufbauen, dass danach keine Änderungen mehr notwendig sind. Bloss in der Praxis wird das nicht immer möglich sein.

Auf mein Beispiel bezogen, könnte ich natürlich auch den Ordner ObersteLeitung eine Ebene nach oben holen, dann gäbe es

\\Server01\Einkauf\Leitung

und

\\Server01\Einkauf\ObersteLeitung

 

Ist vielleicht die beste Lösung, aber vielleicht hat ja trotzdem noch jemand eine "schöne" technische Lösung, bei der der Ordner dort bleiben kann, wo er ist.

Es handelt sich übrigens nicht um eine Schulaufgabe, sondern um ein Problem aus der Praxis, vor dem wir immer wieder mal stehen. Bisher haben wir in diesen Fällen an dieser Stelle die Vererbung deaktiviert, aber das soll man ja nicht machen.

 

Gruß

Martin

Link zu diesem Kommentar

Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. Dann kannst Du auf beide Ordner unterschiedliche Rechte vergeben.

Oder Du nutzt Einkauf als Container mit zwei Unterordnern Leitung und Team mit unterschiedlichen Berechtigungen. Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden.

Link zu diesem Kommentar

...nach Entfernen der vererbbaren Berechtigungen...

So haben wir es ja bisher gemacht. Aber, wie man immer wieder liest, soll man das ja nicht. Versteh ich ja auch. Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht. Außer man hat eine gute Doku oder entsprechende Tools.

 

Du nimmst einfach Leitung aus Einkauf raus und stellst den Ordner auf die gleiche Hierarchieebene wie Einkauf. ... Oberste Leitung kann dann als dritter Ordner auch danebengestellt werden.

Ja, hab ich ja auch in meiner zweiten Antwort schon so geschrieben, dass das eine mögliche (und vielleicht auch die beste) Lösung ist.

 

Zwei andere mögliche Lösungen hab ich auch schon geschrieben,

- Vererbung deaktivieren

- "meine" Pseudo-Ordner Lösung

die aber nicht empfohlen bzw. nicht "schön" sind.

 

Deshalb nochmal die Frage: Gibt´s eine schöne technische Lösung, bei der der Ordner bleiben kann, wo er ist?

 

Gruß

Martin

bearbeitet von AlbertMinrich
Link zu diesem Kommentar

Wieso soll man nicht? Entweder du entfernst die vererbbaren Berechtigungen oder du unterbrichst die Vererbung. Das sind zwei Möglichkeiten. Und die dritte hat dir Daniel genannt.

Um die vererbbaren Berechtigungen entfernen zu können, muss ich die Vererbung unterbrechen, das ist also das gleiche. Und wieso man das nicht soll, hab ich schon geschrieben:

"Man ändert oben die Berechtigungen und geht davon aus, dass das für alles darunter durchvererbt wird. Das irgendwo unten in der Ordnerstruktur die Vererbung ausgeschaltet wurde, sieht man ja auf den ersten Blick nicht."

 

Und man liest es immer wieder.

Z.B. hier

http://www.fileserver-tools.com/2012/08/windows-berechtigungen-optimal-setzen-2/   unter Punkt 6: " Die Vererbung zu unterbrechen ist ganz schlechter Stil, weswegen man das nur in ganz seltenen Ausnahmefällen machen sollte"

 

Aber es gibt wohl auch andere Meinungen.

Ich möchte hier gar keine Grundsatzdiskussion entfachen.

 

Vielen Dank für alle Antworten

Gruß

Martin

Link zu diesem Kommentar

Nein das ist nicht das gleiche. Und solange du den Unterschied nicht findest, wird's schwierig. ;)

Ich glaub, wir meinen schon das gleiche. Die geerbten Berechtigungen kann man nur entfernen, wenn man die Vererbung deaktiviert. Ich denke, da sind wir uns einig. Beim Deaktivieren der Vererbung kann man die bisher geerbten Berechtigungen übernehmen. Die effektiven Berechtigungen auf den Ordner sind dann erstmal genauso, wie vor der Deaktivierung. Nur, dass sie nicht mehr geerbt, sondern explizit gesetzt sind.

Falls du was anderes meinst, klär mich doch bitte auf.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...