Jump to content

Windows Freigaben - Sprung in den Übergeordneten Ordner verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum

habe eine Frage bzgl. Freigaben die mir eigentlich recht simpel scheint
aber ich denke das kennt jeder, hin-und wieder auf dem Schlauch zu stehen

folgendes Szenario
habe eine IT-Infrastruktur (Workgroup) übernommen
darunter ein Windows Server der die Rolle des Fileserver trägt.

Auf diesem Fileserver existiert ein Daten-Ordner welcher selbst nicht freigegeben ist.
Jedoch befinden sich darin die Ordner der einzelnen Abteilungen
auf dennen Freigaben und Berechtigungen liegen.
Bsp:
\\Fileserver\Buchhaltung
\\Fileserver\Kundencenter
\\Fileserver\Verkauf
soweit so gut

Allerdings besteht von jeder Freigabe aus
die Möglichkeit per Windows Explorer eine Ebene hinauf zu gelangen
also bsp von \\Fileserver\Buchhaltung nach \\Fileserver\

so dass alle anderen Ordner und Freigaben für jedermann sichtbar sind.
Was mich sehr verwundert, da der obergeordnete Ordner selbst nicht freigegeben ist

Den Benutzern die Lese-Berechtigung für diesen Ordner zu entziehen scheint mir keine gute Idee
da sich da drinnen die Freigaben befinden.
Zugriffsbasierte Aufzählung hat logischerweise auch keinen Effekt wenn es darum geht die fremden Freigaben auszublenden

Da eigentlich immer auf dem System gearbeitet wird kann ich mir keine Experimente erlauben

ich hoffe ihr könnt mir helfen
vielen Dank im voraus!
 

Link zu diesem Kommentar

Das klingt für mich normal. Auf der obersten Ebene auf einem Server bspw. \\MeinServer siehst du alle Freigaben, die der Server für den Benutzer zur Verfügung stellt. Angezeigt werden Dir die Freigaben, deren Freigabeberechtigung Dich zum Lesen berechtigen. Falls du auf die Freigabe klickst, wirken Freigabeberechtigung und NTFS des jeweiligen Ordners. Falls du die Freigaben verstecken möchtest, dann passe einfach deren Berechtigungen an.

Link zu diesem Kommentar

@Dukel Neue Freigaben habe ich bereits mit $ versteckt
bei den alten wird es ein bisschen schwierig da die Netzlaufwerke lokal per Scriptdatei eingebunden werden
hieße daher manuell an jedem System umschreiben
denn wie gesagt ... habe die Infrastruktur so übergeben bekommen

@tesso common Ordner wie bsp. Buchhaltung stören mich nicht
jedoch befinden sich auch Ordner darunter die idealerweise nicht in der Liste auftauchen sollen
da ich sozusagen der Neue bin, bin ich schon mit einigen Fragen diesbezüglich konfrontiert worden

 

@MurdocX die Freigabe diesbezüglich anzupassen gestaltet sich ein wenig schwierig
wie erwähnt leider kein ADDS und von AGD
LP ganz zu schweigen
in den NTFS Berechtigungen befinden sich keine Gruppen sondern teilweise 30 Benutzerkonten auf einem Ordner


die Musterlösung wäre wie bei der zugriffsbasierenden Aufzählung
dass jedem Nutzer nur die entsprechenden Ordner angezeigt werden würden

die oberste Ebene zu sperren macht nicht wirklich Sinn
würde mich aber rein aus Interesse interessieren
Bei Sicherheit die Vererbung deaktivieren und das Prinzipal "Benutzer" entfernen ?

bearbeitet von htb
Link zu diesem Kommentar

Wir machen die Freigaben anders.

 

Ein Ordner (Daten) wird freigegeben. Darin liegen die entsprechen Ordner der Abteilungen. 

Auf den Share dann ABE aktivieren und die Rechte der Ordner richtig setzen. 

 

Dann sieht kein User einen Ordner im Share auf den er keine Rechte hat.

Verbinden kannst du trotzdem auf \\Server\Daten\Abteilung1

 

Hoffe das hilft

Link zu diesem Kommentar
vor 22 Minuten schrieb htb:

@MurdocX die Freigabe diesbezüglich anzupassen gestaltet sich ein wenig schwierig
wie erwähnt leider kein ADDS und von AGD
LP ganz zu schweigen
in den NTFS Berechtigungen befinden sich keine Gruppen sondern teilweise 30 Benutzerkonten auf einem Ordner

Ja, AGDLP-Prinzip wirst du nicht anwenden können. Ich kann mir auch nicht vorstellen, dass es sinnvoll ist, alle Benutzer immer einzeln zu übernehmen. Du kannst für die Benutzergruppen bspw. Sekretariat oder Chef einfach eine eigene Gruppe im Server anlegen und dort die Benutzer hineinlegen. In der Freigabe berechtigst du dann nur noch die Gruppe mit "Ändern". Damit sehen alle Anderen die Freigaben nicht mehr. Im zweiten Schritt kann das Gruppenkonzept auch auf die NTFS-Ordner angewendet werden. Dann müssten nur noch Gruppen und keine Berechtigungen mehr angepasst werden, auch ohne AD :-)

Link zu diesem Kommentar

@Tesso ich hatte bereits versucht den Daten-Ordner frei zu geben
und ABE
zu aktivieren, hatte im nachhinein leider keinen Effekt mehr gehabt

@MurdocX selbstverständlich ist es nicht sinnvoll
aber es ist das was ich von meinem Vorgänger übergeben bekommen habe
und es jetzt gilt Schritt für Schritt zu optimieren

Danke aber schon einmal für eure Antworten !

bearbeitet von htb
Link zu diesem Kommentar

@MurdocX habe es auch nicht als Vorwurf verstanden
wollte lediglich betonen was für ein riesen Mist das ist
in einer großen Firma, wenn ein neuer Mitarbeiter kommt
einen lokalen Benutzer auf dem Fileserver einzurichten
bzw. dem Mitarbeiter eine Batch-Datei fürs Netzlaufwerk in den Autostart zu schieben
das geht komplett gegen meine bisherige Philosophie

@Daabm mit Domäne wäre alles einfacher, da hast Du leider Recht


aber da scheint bei dem momentanen IST-Zustand wohl nicht viel machen zu sein
ich Danke euch soweit für euer Feedback :-)

Link zu diesem Kommentar
vor 9 Minuten schrieb Dukel:

Wie es gibt keine Domäne? Wie da lässt sich nichts machen?

Nein die gibt es wirklich nicht
Standortübergreifend meldet sich jeder lokal an seinem PC an

Benutzer müssen parallel als lokale Benutzer auf dem Fileserver angelegt werden
und eine Batch-Datei an dem jeweiligem System in den Autostart
natürlich mit Kennwortübertragung im Klartext

mein Plan fast aber ein Konzept für eine Domäne mit Active Directory vor
welches ich bei Zeiten der Geschäftsführung vorstellen werde
(die beim Thema recht sparsam ist)

bin gelernter FiSi mit MCSE2016
alle Misstände werde ich hier nicht nennen
aber meine Berufserfahrung reicht nicht soweit zurück dass ich solche Methoden miterlebt habe :frown:

bearbeitet von htb
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...