Jump to content
michelo82

"Domänen-Benutzer" aus der lokalen Gruppe "Benutzer" des Servers entfernen

Recommended Posts

Hi,

ich möchte einen Fileserver auf eine neue (virtuelle) Maschine umziehen. Ich möchte die Gelegenheit nutzen und dabei gleich die Freigaben und Berechtigungen aufräumen.

Die entsprechenden Globale-Sicherheitsgruppen für z.b. Freigabename_RW oder Freigabename_R (Read-Only) sind bereits im AD vorhanden.

 

Nun muss ich allerdings bei jeder neu erstellten Freigabe die Gruppe "Benutzer" entfernen,  da in dieser ja auch die Domänen-Benutzer stecken. Sonst hätte jeder Domänen-Benutzer standardmäßig Zugriff.

19f5e5-1579516103.png

 

Wenn ich nun die "Domänen-Benutzer" aus der lokalen Gruppe "Benutzer" des Servers entferne, entstehen mir irgendwelche Nachteile? Es sollen sich keine Domänen-Benutzer lokal am File-Server anmelden.

7dcc81-1579516071.png

Share this post


Link to post
Share on other sites

Moin,

 

falscher Weg. Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden. Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

 

* hier ist es wichtig zu unterscheiden: wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf. In nahezu allen Fällen will man das auch so lassen und die Freigabe mit "Jeder: Vollzugriff" berechtigen.

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Gruß, Nils

 

  • Thanks 1

Share this post


Link to post
Share on other sites

Hallo Nils,

Danke!

Zitat

Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden.

Prima! Ich dachte es mir schon.

 

Zitat

wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf.

Ja das habe ich wohl nicht ausführlich beschrieben. Ich setze die Freigabeberechtigungen auf JEDER (AUTHENTIFIZIERTE oder gar die Gruppe Freigabename_RW, dürfte ja auch gehen) => auf ÄNDERN, sodass die User selbst keine Berechtigungen editieren dürfen.

 

Zitat

Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

Hier wiederum bekomme ich ein Problem mit der UAC, da mein Admin ja als normaler User im Explorer unterwegs ist. (Quelle)

833e12-1579520771.png

 

Also würde ich die Gruppe Benutzer zu entfernen, dafür dann meine Gruppe Freigabename_RW oder Freigabename_R hinzufügen. Zusätzlich würde noch eine z.b. File-Admin Gruppe, die Mitglied der Gruppe der lokalen Administratoren ist und “Vollzugriff” auf das NTFS Volume bekommt, hinzufügen.

 

Da meine Freigaben direkt in einem Verzeichnis unterhalb der Wurzel (z.b. E:\Freigaben) liegen ist es doch besser, wenn ich die Vererbung im Verzeichnis "Freigaben" deaktiveren und nicht auf E:\ ?

54b034-1579520336.png

 

Ist es dann der richtige Weg?

 

Edited by michelo82

Share this post


Link to post
Share on other sites

Moin,

 

ich würde die Freigaben nicht ausgehend von der Wurzel einrichten, sondern einen übergeordneten Ordner dafür einrichten. Macht vieles einfacher.

 

Bezüglich UAC:

[Windows-Berechtigungen mit UAC verwalten | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/23/windows-berechtigungen-mit-uac-verwalten/

 

... oder kurz: Nimm ein Tool, das sich dafür eignet. Der Explorer ist für einfache Benutzer, nicht für Admins.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Ok. Folgendes verstehe ich allerdings nicht:

 

1. Ich erstelle eine Freigabe für den Ordner “e:\Freigabe” mit dem Namen “Freigabe”.

2. Ich erstellen eine Berechtigungsgruppe im AD “NTFS_Abteilung1_RW”

3. Ich vergebe der Gruppe “Ändern”-Berechtigungen auf den Ordner “E:\Freigabe”

4. Ich vergebe der Freigabe JEDER mit “Ändern”-Berechtigungen

 

Ich erwarte, dass:

Ich mit einem Benutzer der in der Gruppe von “NTFS_Abteilung1_RW” steckt ein neues Verzeichnis anlegen kann.

 

Ich stelle fest, dass:

der Benutzer den Ordner Freigaben öffnen kann, dort aber keine Berechtigungen hat.

 

Was mache ich falsch?

7872a0-1579523313.png

d8e162-1579523408.png

Edited by michelo82

Share this post


Link to post
Share on other sites

Moin,

 

vermutlich hat sich der User nicht neu angemeldet, seit er der Gruppe hinzugefügt wurde. Muss er aber.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

nebenbei ...

 

ich würde nur eine einzige Freigabe (meinetwegen E:\Freigabe ) erstellen

darunter dann einzelne Ordner und darauf jeweils NTFS Ordnerrechte setzen (so wie Du das ursprünglich für verschiedene Freigaben machen willst)

Anschließend ABE (Access Based Enummeration) einschalten ... spart Dir viel Arbeit

 

Auf dem Freigabe root dann Vererbung bei den NTFS Rechten komplett raus ... System und Administratoren Vollzugriff rein. 

Dann Erweiterte NTFS Rechte Domänenbenutzer Lesen, Ordner auflisten (nur diesen Ordner)

 

Dann kannst Du auf den jeweiligen Unterordnern die jeweiligen Gruppen hinzufügen (mit Ändern Rechten - kein Vollzugriff)

 

Der Benutzer sieht nur die Ordner, auf die er Zugriff hat ... Du musst nur eine einzige Freigabe veröffentlichen oder mappen ...

 

macht vieles leichter

Share this post


Link to post
Share on other sites

Hi,

ich habe eine Fehler gemacht. Ich habe bei der Freigabe mit Berechtigung JEDER, nur lesen statt ändern geklickt. Ich habe da wohl im Eifer des Gefechts nicht richtig hingeschaut.

 

@Squire

An die Variante habe ich auch schon gedacht. Ich lese aber immer, dass man die Vererbung eben nicht deaktiveren soll. Jetzt bin ich mir etwas unschlüssig darüber.

Kannst du deine Variante eventuell noch mit einem Screenshot unterfüttern?

Share this post


Link to post
Share on other sites

Ich werfe noch DFSN in den Ring - ich würde heute in einem Netz niemals mehr eine Freigabe serverbasiert machen... Mit DFSN kannst Du den (oder die) Server darunter später beliebig umbenennen, für die User ändert sich dann aber gar nichts. Nur so als Gedanke... :-)

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb NilsK:

Moin,

 

falscher Weg. Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden. Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

 

* hier ist es wichtig zu unterscheiden: wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf. In nahezu allen Fällen will man das auch so lassen und die Freigabe mit "Jeder: Vollzugriff" berechtigen.

 

[Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

 

Gruß, Nils

 

Endlich mal die Sache auf den Punkt gebracht! Wie oft erntete ich doofe Blicke  von non MS Admins wenn ich die Freigabe für "Jeden" setze. Da stehen denen die Haare zu Berge. Deine Erklärung sollte man oben anpinnen :)

Share this post


Link to post
Share on other sites

Moin,

 

danke. Deshalb betreibe ich diese Webseite, die ich zitiert habe ... :grins2:

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...