papatom 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Moin an alle arbeite gerade MS Press 290 durch und habe eine Verständnisfrage zu folgender Aufgabe: Sie konfigurieren Freigabeberechtigungen für einen freigegebenen Ordner auf einem Dateiserver. Sie möchten, dass alle authentifizierten Benutzer Dateien in dem Ordner speichern, alle Dateien in dem Ordner lesen und ihre eigenen Dateien ändern und löschen können. Wie lauten die korrekten Sicherheits-und Freigabeberechtigungen, die sie für den freigegebenen Ordner einrichten müssen um das Ziel zu erreichen? (Wählen Sie alle zutreffenden Antworten aus). a - Authentifizierte Benutzer - Vollzugriff b - Authentifizierte Benutzer - Ändern c - Authentifizierte Benutzer - lesen d - Ersteller/Besitzer - Vollzugriff e - Ersteller/Besitzer - Ändern d - Ersteller/Besitzer - lesen Antwort im Buch: c und e Zunächst mal steht für mich am Anfage der Fragestellung "Sie konfigurieren Freigabeberechtigungen ..." Also lasse ich alle NTFS Sicherheitseinstellungen unberührt - oder? Setze ich nun meinen Authentifizierten Benutzer in den Freigabeberechtigungen auf lesen (Antwort c) kann er keine Dateien im freigegebenen Ordner speichern. Genau dies wird aber gefordert. Antwort b ermöglicht dem Authentifizierten Benutzer löschen von Dateien im Ordner (soll ja nicht) - diese Antwort wäre aber meiner Meinung nach richtig , vorausgesetzt man grenzt dann zusätzlich die NTFS Berechtigungen ein ( hierzu gibt es jedoch keine Antwort) Wo liegt mein Denkfehler ?? Über Anregungen und ggf. Lösungsvorschläge würde ich mich freuen. PapaTom Zitieren Link zu diesem Kommentar
ranger 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Ich denke es ist so gemeint, dass es durch die "Ändern"-Berechtigung für Ersteller/Besitzer auch möglich ist, neue Dateien in dem Ordner zu speichern. Diese Dateien kann dann aber nur der "Ersteller/Besitzer" ändern und löschen. Ob es so wirklich funktioniert hab ich allerdings nicht getestet. Zitieren Link zu diesem Kommentar
ranger 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Doppelter Eintrag?? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Sowas lässt sich mit reinen Freigabeberechtigungen gar nicht lösen. Man muss es dem Benutzer erstmal ermöglichen, dass er überhaupt etwas in dem Ordner erzeugen kann, da der Erstellerbesitzer erst dann zum Tragen kommt, wenn die Datei oder der Ordner erstellt wurde bzw. überhaupt werden konnte. Die Freigabeberechtigung "Ändern" beinhaltet auch löschen. Die NTFS-Berechtigung "Ändern" ebenso. Konfiguriere ich beides ohne Anpassung auf "Ändern", kann ich die Dateien aller Benutzer löschen, nicht nur die eigenen. Standardmässig wird die gesetzte NTFS-Berechtigung auf "Dieser Ordner, Unterordner und Dateien" angewendet (die Freigabeberechtigung ebenso, ab dem Punkt des Setzens der Freigabe). Es stehen in der Berechtigung für eine in diesem Ordner erzeugten Datei also die Gruppe Authentifizierte Benutzer - Ändern und der Erzeuger der Datei - Ändern. Man muss also die Reichweite verändern, auf dem Root-Ordner z.B. Authentifizierte Benutzer - Ändern - Nur diesen Ordner ; Erstellerbesitzer - Nur Unterordner und Dateien und zusätzlich in der erweiterten Sicherheitskonfiguration die Authentifizierten Benutzer mit den speziellen Berechtigungen "Ordner durchsuchen/Dateien ausführen", "Ordner auflisten/Daten lesen", "Attribute lesen", "Erweiterte Attribute lesen" und "Berechtigungen lesen" auf "Nur Unterordner und Dateien" eintragen. Wird jetzt, wie in der Aufgabenstellung beschrieben, nur das Erzeugen von Dateien erwünscht, muss in der NTFS-Berechtigung Authentifizierte Benutzer - Ändern noch die spezielle Berechtigung "Ordner erstellen/Daten anhängen" entfernt werden. In diesem Fall kann die Reichweite auf "Nur Dateien" für die Erstellerbesitzer eingestellt werden. Du musst die Freigabe aber trotzdem auf Ändern stellen, da bei Wirkung von Freigabe- und NTFS-Berechtigungen gleichermassen gilt, dass die am meisten einschränkende Berechtigung die effektive Berechtigung ist, was in diesem Fall die NTFS-Berechtigung ist. Also ist die Frage schwammig und die Antworten sind Mist. Sie wären nur dann richtig, wenn die speziellen Berechtigungen via NTFS geregelt werden, aber dann kann ich auch Authentifizierte Benutzer - Vollzugriff als Freigabeberechtigung wählen. Zitieren Link zu diesem Kommentar
mcse_killer76 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Die Aufgabe läßt sich sehr wohl mit den reinen Freigabeberechtigungen lösen! Und die Antworten im Buch sind auch korrekt. Mit c wird ermöglicht, dass jeder User alle Dateien lesen kann. Mit e wird ermöglicht, dass er als Ersteller/Besitzer Dateien in den Ordner schreiben und seine EIGENEN ändern und löschen kann. Passt also so weit! Da in dieser Frage NUR die Freigabeberechtigungen erwähnt sind muss man davon ausgehen, dass die NTFS-Berechtigungen so weit passen. Diese werden wohl bei "jeder" auf "Vollzugriff" oder "Ändern" stehen, dann passt es so weit. Grund: NTFS <--> Freigabe ist restriktiv, somit bekommen die User nicht zu viel Berechtigungen. Das wird übrigens in der Praxis sehr häufig so gemacht! Man dreht die NTFS-Berechtigungen auf und schränkt alles mit den Freigabeberechtigungen ein. Da ein normaler User sich in diesen Fällen sowieso nicht direkt am Server anmelden darf ist es so weit kein Problem! Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Ich kenne niemanden, der auf NTFS-Ebene auf Durchzug stellt und in der Freigabe Berechtigungen vergibt. Ich persönlich nutze Freigabeberechtigungen nur, wenn das Dateisystem nicht NTFS ist ... edit: nochmal korrigiert, das war eben falsch geklickt. Es funktioniert nicht mit reinen Freigabeberechtigungen, wie oben schon geschrieben (NTFS-Berechtigungen Jeder - Vollzugriff; Freigabe Authentifizierte Benutzer - Ändern, Erstellerbesitzer - Ändern). In diesem Fall ist die Dateiberechtigung Jeder - Vollzugriff. Das NTFS-Dateisystem bestimmt, wer in die ACL geschrieben wird, nicht die Freigabe. Die bestimmt nur, welchen Grad des Zugriffs ich habe (zusammen mit dem darunter liegenden NTFS-Berechtigungen) Zitieren Link zu diesem Kommentar
mcse_killer76 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Ich kann die Erstellerbesitzer in der Freigabeberechtigung gar nicht auswählen ...Ich kenne auch niemanden, der auf NTFS-Ebene auf Durchzug stellt und in der Freigabe Berechtigungen vergibt. Ich persönlich nutze Freigabeberechtigungen nur, wenn das Dateisystem nicht NTFS ist ... edit: Auswählen zwar nicht, aber hinschreiben kann ich ihn, werde ich mal ausprobieren ... UPS, ok, stimmt auch wieder. "Ersteller-Besitzer" lässt sich nur bei den NTFS-Berechtigungen einstellen. Da könnte ich Dir aber von einigen Firmen erzählen, die NTFS auf dem Fileserver für "Authentifizierte Benutzer" auf "Ändern" stellen und die Einschränkungen auf Freigabeebene erledigen. In diesem Fall dürfen sich dann nur Administratoren an den Servern interaktiv anmelden und die Server sind natürlich entsprechend physikalisch gesichert. Damit hat man die doppelte Administration von der Backe! Wieso sollte man das nicht so machen? Gerade in sehr großen Umgebungen kann man damit noch irgendwie die Übersicht bewahren und den Aufwand im erträglichen Bereich halten... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Schau noch mal, habe den Post geändert ... Das Problem mit dem nicht auswählen waren wohl zu dicke Finger (auf nem XP geht das nicht, auf nem Server schon) :D edit: die meinen sicher, dass die Freigabeberechtigungen für die Authentifizierten Benutzer auf Ändern stehen und die NTFS-Berechtigungen auf Erstellerbesitzer - Ändern (aber auch das reicht nicht, so kommt da niemand rauf) Zitieren Link zu diesem Kommentar
papatom 10 Geschrieben 12. August 2006 Autor Melden Teilen Geschrieben 12. August 2006 Moin an alle, vielen Dank für Eure Ausführungen. Ich zweifelte schon an mir aber die Antworten sagen mir das dem wohl nicht so ist..... Fest steht für mich folgendes - die Lösungen im Buch sind in der Form unzureichend. Egal wie muss es zunächst einmal möglich sein eine Datei im Ordner erstellen zu können. Dies ist erste Vorgabe. Hierzu benötige ich in der Freigabeberechtigung ändern. Dies ist Antwortmäßig nicht gegeben. Okay - jedenfalls stand dieser Samstag im Zeichen der Freigaben und Berechtigungen :) Nochmals besten Dank für euer Feedback PapaTom Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Sehe ich auch so, die möglichen Antworten sind zwar nicht falsch, aber keinswegs vollständig. naja, da wirst Du Dich aber dran gewöhnen müssen. Man kann es nicht so konfigurieren mit der Auswahl, die man vorgegeben bekommt ... Haste es mal probiert, so zu konfigurieren, wie ich es beschrieben habe ? Ach übrigens, die reden nicht nur von Freigabeberechtigungen, bei denen sind meistens die Fragen am Ende entscheidend: Wie lauten die korrekten Sicherheits-und Freigabeberechtigungen, die sie für den freigegebenen Ordner einrichten müssen um das Ziel zu erreichen? Zitieren Link zu diesem Kommentar
mcse_killer76 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Mist, habe gerade keinen Server zur Hand, sonst würde ich es gerne mal ausprobieren... Habe dazu nochmal die Bücher gewälzt und es ist anscheinend wirklich so, dass man bei der Freigabe auf dem SERVER den Ersteller-Besitzer auswählen kann. Aber wie gesagt, würde das gerne nochmal ausprobieren, hab dann schon mal was für Montag vor :-) Ich habe aber auch so langsam das Gefühl, dass sich bei den Antwortmöglichkeiten Fehler eingeschlichen haben... Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Ja, mach das mal, ich habe es auch gemacht und es funktioniert nicht mit den Freigaben , aus meiner Sicht auch logisch ... :) Du kannst es auch mit einer XP-Professional Version machen, musst dann eben ERSTELLER-BESITZER hinschreiben, es verhält sich genauso Kommando zurück, Ersteller-Besitzer lässt sich nicht zufügen ... Zitieren Link zu diesem Kommentar
mcse_killer76 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Jepp, geht wirklich nur über den Server. Aber ich teste das mal :-) Zitieren Link zu diesem Kommentar
papatom 10 Geschrieben 12. August 2006 Autor Melden Teilen Geschrieben 12. August 2006 @ IThome vielen Dank für Deine ausführlichen Lösungsvorschläge !! Ich habe heute so ziemlich alles probiert ob über Freigabe oder NTFS um die Lösungsvorschläge des Buches nachzuvollziehen. Ich hab mich dabei zwischenzeitlich auch mal so verzettelt, dass ich mich öfters auf meine Grundsätze bezügl. Netzwerkfreigaben zurückschrauben musste. Meine Vorgehensweise lautet dabei Freigabe aufmachen und über ACL-NTFS eingrenzen. Mag sein, dass andere Wege auch zum Ziel führen, aber ich denke, wenn man schon die Möglichkeit einer NTFS Konfiguration hat macht diese Vorgehensweise durchaus Sinn. Schlußendlich möchte ich diesem Forum ein dickes Lob bezügl. meist sachlicher Kommentare aussprechen. Auch wenn`s nicht in diese Kategorie fällt - es ist Samstag 20:31 - Schluß mit MS. PapaTom Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. August 2006 Melden Teilen Geschrieben 12. August 2006 Meine Vorgehensweise lautet dabei Freigabe aufmachen und über ACL-NTFS eingrenzen. Das ist auch die empfohlene Vorgehensweise ... :) und wenn die Ausführung geholfen hat, umso besser ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.