Jump to content

"Domänen-Benutzer" aus der lokalen Gruppe "Benutzer" des Servers entfernen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

ich möchte einen Fileserver auf eine neue (virtuelle) Maschine umziehen. Ich möchte die Gelegenheit nutzen und dabei gleich die Freigaben und Berechtigungen aufräumen.

Die entsprechenden Globale-Sicherheitsgruppen für z.b. Freigabename_RW oder Freigabename_R (Read-Only) sind bereits im AD vorhanden.

 

Nun muss ich allerdings bei jeder neu erstellten Freigabe die Gruppe "Benutzer" entfernen,  da in dieser ja auch die Domänen-Benutzer stecken. Sonst hätte jeder Domänen-Benutzer standardmäßig Zugriff.

19f5e5-1579516103.png

 

Wenn ich nun die "Domänen-Benutzer" aus der lokalen Gruppe "Benutzer" des Servers entferne, entstehen mir irgendwelche Nachteile? Es sollen sich keine Domänen-Benutzer lokal am File-Server anmelden.

7dcc81-1579516071.png

Link zu diesem Kommentar

Moin,

 

falscher Weg. Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden. Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

 

* hier ist es wichtig zu unterscheiden: wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf. In nahezu allen Fällen will man das auch so lassen und die Freigabe mit "Jeder: Vollzugriff" berechtigen.

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Gruß, Nils

 

Link zu diesem Kommentar

Hallo Nils,

Danke!

Zitat

Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden.

Prima! Ich dachte es mir schon.

 

Zitat

wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf.

Ja das habe ich wohl nicht ausführlich beschrieben. Ich setze die Freigabeberechtigungen auf JEDER (AUTHENTIFIZIERTE oder gar die Gruppe Freigabename_RW, dürfte ja auch gehen) => auf ÄNDERN, sodass die User selbst keine Berechtigungen editieren dürfen.

 

Zitat

Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

Hier wiederum bekomme ich ein Problem mit der UAC, da mein Admin ja als normaler User im Explorer unterwegs ist. (Quelle)

833e12-1579520771.png

 

Also würde ich die Gruppe Benutzer zu entfernen, dafür dann meine Gruppe Freigabename_RW oder Freigabename_R hinzufügen. Zusätzlich würde noch eine z.b. File-Admin Gruppe, die Mitglied der Gruppe der lokalen Administratoren ist und “Vollzugriff” auf das NTFS Volume bekommt, hinzufügen.

 

Da meine Freigaben direkt in einem Verzeichnis unterhalb der Wurzel (z.b. E:\Freigaben) liegen ist es doch besser, wenn ich die Vererbung im Verzeichnis "Freigaben" deaktiveren und nicht auf E:\ ?

54b034-1579520336.png

 

Ist es dann der richtige Weg?

 

bearbeitet von michelo82
Link zu diesem Kommentar

Moin,

 

ich würde die Freigaben nicht ausgehend von der Wurzel einrichten, sondern einen übergeordneten Ordner dafür einrichten. Macht vieles einfacher.

 

Bezüglich UAC:

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

... oder kurz: Nimm ein Tool, das sich dafür eignet. Der Explorer ist für einfache Benutzer, nicht für Admins.

 

Gruß, Nils

 

Link zu diesem Kommentar

Ok. Folgendes verstehe ich allerdings nicht:

 

1. Ich erstelle eine Freigabe für den Ordner “e:\Freigabe” mit dem Namen “Freigabe”.

2. Ich erstellen eine Berechtigungsgruppe im AD “NTFS_Abteilung1_RW”

3. Ich vergebe der Gruppe “Ändern”-Berechtigungen auf den Ordner “E:\Freigabe”

4. Ich vergebe der Freigabe JEDER mit “Ändern”-Berechtigungen

 

Ich erwarte, dass:

Ich mit einem Benutzer der in der Gruppe von “NTFS_Abteilung1_RW” steckt ein neues Verzeichnis anlegen kann.

 

Ich stelle fest, dass:

der Benutzer den Ordner Freigaben öffnen kann, dort aber keine Berechtigungen hat.

 

Was mache ich falsch?

7872a0-1579523313.png

d8e162-1579523408.png

bearbeitet von michelo82
Link zu diesem Kommentar

nebenbei ...

 

ich würde nur eine einzige Freigabe (meinetwegen E:\Freigabe ) erstellen

darunter dann einzelne Ordner und darauf jeweils NTFS Ordnerrechte setzen (so wie Du das ursprünglich für verschiedene Freigaben machen willst)

Anschließend ABE (Access Based Enummeration) einschalten ... spart Dir viel Arbeit

 

Auf dem Freigabe root dann Vererbung bei den NTFS Rechten komplett raus ... System und Administratoren Vollzugriff rein. 

Dann Erweiterte NTFS Rechte Domänenbenutzer Lesen, Ordner auflisten (nur diesen Ordner)

 

Dann kannst Du auf den jeweiligen Unterordnern die jeweiligen Gruppen hinzufügen (mit Ändern Rechten - kein Vollzugriff)

 

Der Benutzer sieht nur die Ordner, auf die er Zugriff hat ... Du musst nur eine einzige Freigabe veröffentlichen oder mappen ...

 

macht vieles leichter

Link zu diesem Kommentar

Hi,

ich habe eine Fehler gemacht. Ich habe bei der Freigabe mit Berechtigung JEDER, nur lesen statt ändern geklickt. Ich habe da wohl im Eifer des Gefechts nicht richtig hingeschaut.

 

@Squire

An die Variante habe ich auch schon gedacht. Ich lese aber immer, dass man die Vererbung eben nicht deaktiveren soll. Jetzt bin ich mir etwas unschlüssig darüber.

Kannst du deine Variante eventuell noch mit einem Screenshot unterfüttern?

Link zu diesem Kommentar
vor 11 Stunden schrieb NilsK:

Moin,

 

falscher Weg. Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden. Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

 

* hier ist es wichtig zu unterscheiden: wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf. In nahezu allen Fällen will man das auch so lassen und die Freigabe mit "Jeder: Vollzugriff" berechtigen.

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Gruß, Nils

 

Endlich mal die Sache auf den Punkt gebracht! Wie oft erntete ich doofe Blicke  von non MS Admins wenn ich die Freigabe für "Jeden" setze. Da stehen denen die Haare zu Berge. Deine Erklärung sollte man oben anpinnen :)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...