10
Schreib- und Leseberechtigung auf Netzwerkfreigaben
Hallo,
irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:
- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben
Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.
Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.
Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.
Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.
Gruß
irgendwie stehe ich momentan auf nem Schlau. Es geht um eine Windows-Domäne mit SBS 2011 und Windows 7/Vista-Rechnern. Um die Rechtevergabe einfacher handhaben zu können, habe ich Sicherheitsgruppen nach folgenden Muster erstellt:
- FREIGABENAME_Admin
- FREIGABENAME_Lesen
- FREIGABENAME_Schreiben
Meine Ordner bekommen nun alle 3 Sicherheitsgruppen zugewiesen und die Berechtigungen werden entsprechend gesetzt: Admin -> Vollzugriff, Schreiben -> ändern, Lesen -> lesen. Das gleiche mache ich mit den Freigaben.
Je nachdem was der Benutzer machen darf, wird er Mitglied in der Gruppe. Soweit funktioniert auch alles nach Wunsch. Nun habe ich aber ein Problem mit "verschachtelten" Sicherheitsgruppen. Nehmen wir als Beispiel einmal die Freigabe "Sonderbereiche": Sonderbereiche_Admin, Sonderbereiche_Lesen und Sonderbereiche_Schreiben wurden erstellt und Ordner- und Freigabeberechtigung entsprechend gesetzt. "Sonderbereiche" wird nun z.B. auf S: gemappt. Der Ordner/Freigabe "Sonderbereiche" enthält nun einen Ordner/Freigabe "Buchhaltung". Sicherheitsgruppen werden erstellt und Berechtigungen gesetzt, Rechte werden NICHT vererbt.
Nun zu meinen Problem: Benutzer X wird Mitglied der Gruppen "Sonderbereiche_Lesen" und "Buchhaltung_Lesen"/"Buchhaltung_Schreiben", denn der Benutzer soll auf der obersten Ebene "Sonderbereiche" nichts speichern und auch keine Ordner erstellen können. Leider kann der Benutzer trotz Schreibrechte nichts im Ordner "Buchhaltung" speichern. Erst wenn er auch Mitglied in der Gruppe "Sonderbereiche_Schreiben" geworden ist, kann er etwas speichern -> natürlich auch auf der obersten Ebene. Dies soll aber nicht passieren.
Mich stellt sich nun meine Frage, wie kann ich es verhindern?! Ich geh mal davon aus, dass mein Konzept Hand und Fuß hat und eigentlich so funktionieren sollte, nur irgendetwas habe ich verpeilt.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 171676
Url: https://administrator.de/contentid/171676
Printed on: April 19, 2024 at 02:04 o'clock
10 Comments
Latest comment
Hallo opalka,
hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.
Gruß
Dominique
hast du vielleicht mit den Freigabeberechtigungen gespielt?
Ist der untergeordnete Ordner auch eine Freigabe?
Versuch doch mal Folgendes: Fraigabeberechtigungen Jeder:Vollzugriff und die NTFS ACLs wie beschrieben anpassen. Ggf. Testweise die Vererbungen reinnehmen.
Gruß
Dominique
Hallo,
danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:
Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".
Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.
Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!
Gruß
danke für Deine Antwort. In den Ordnerberechtigung ist lediglich nur noch "System" vorhanden, andere wie z.B. Authentifizierte Benutzer, Jeder etc. wurden entfernt.
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:
Eingetragene Gruppen auf Ordner "Buchhaltung": Buchhaltung_Admin, Buchhaltung_Lesen, Buchhaltung_Schreiben + SYSTEM. Es werden keine weiteren Gruppen geerbt. Analog dazu die Gruppen in der Freigabe aber ohne SYSTEM. Die Sonderbereiche-Gruppen haben keinen Zugriff auf "Buchhaltung".
Warum sollte ich "Jeder" einen Vollzugriff geben, wenn es schon reicht die Sonderbereich_Schreiben-Gruppe hinzuzufügen?! Jeder hat an dieser Stelle garnichts zu suchen. Auch die Standart-ACLs haben dort meiner Meinung nach nichts zu suchen. Lediglich "System" um ein Backup durchzuführen.
Vielleicht irre ich mich ja, lasse mich gern eines besseren belehren, aber wie bereits gesagt, es reicht vollkommen die Gruppe "Sonderbereiche_Schreiben" dem Benutzer hinzuzufügen und schon kann er auch in Buchhaltung schreiben, wenn er denn über die Freigabe "Sonderbereiche" geht. Geht er direkt über die Freigabe "Buchhaltung" klappt es ja auch. Mir gehts es einfach nur darum, wie verhindere ich, dass der Benutzer auf der obersten Ebene etwas ändern/erstellen kann?!
Gruß
Hallo
Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.
Grüße
Richard
Zitat von @opalka:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:
Hallo,
Ja, Buchhaltung ist auch über eine Freigabe erreichbar. Wie bereits geschrieben:
Erreichbar vielleicht, aber nach dem Text oben nicht als eigene Freigabe. In sämtlichen Ordnern, die über die Freigabe Sonderbereiche aufgerufen werden, stehen Benutzer unter ihrer diesbezüglichen Freigabeberechtigung entsprechend der Gruppenzugehörigkeit Sonderbereiche_*. Im Fall des Benutzers X ist das die Freigabeberechtigung Lesen. Da Freigabe- und Dateisystemberechtigungen auf die niedrigsten Rechte kumuliert werden, bleibt es dabei.
Bei der Freigabe musst Du dem Benutzer die höchsten innerhalb der Freigabe erforderlichen Rechte geben. Darunter wird dann über die Dateisystemrechte differenziert.
Grüße
Richard
Moin,
kann ich nur noch mal bestätigen was die Vorredner schrieben:
Du musst die Freigabeberechtigung bearbeiten.
VG
kann ich nur noch mal bestätigen was die Vorredner schrieben:
Du musst die Freigabeberechtigung bearbeiten.
VG
Hallo,
sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.
Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.
Gruß
sorry, aber irgendwie raff ich es nicht. Wie bereits geschrieben gebe ich ja dem Benutzer die "Sonderbereiche_Schreiben"-Mitgliedschaft und dann funktioniert ja auch alles so wie es soll, bis auf das kleine Problem, dass der Benutzer auch auf der obersten Ebene schreiben kann und genau dies will ich nicht.
Ich formuliere das ganze vielleicht noch einmal um: Wie verhindere ich, dass ein Benutzer mit Schreibrechten auf einer Freigabe schreiben kann? Er soll ja ersten auf der zweiten Ebene schreiben dürfen, also in den Unterordnern wie z.B. Buchhaltung, Verwaltung etc.
Gruß
HI,
du musst doch unterscheiden zwischen:
Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.
Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.
VG
du musst doch unterscheiden zwischen:
Freigabeberechtigung die stellst du im Reiter Freigabe unter Berechtigungen ein und
NTFS Sicherheit die stellst du unter Sicherheit ein.
Nun sag uns doch mal wie die Freigabeberechtigungen aussehen von der obersten Freigabe.
VG
Setze Freigabe: jeder auf ändern. Und die Ordner über die NTFS-Rechte absichern. Das macht den Unterschied.
Danke @c.r.s, das war der entscheidene Tipp
Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:
- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben
- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben
Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.
Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.
Gruß
Habe nun das Problem gelöst. Ich habe nun 2 Arten von Sicherheitsgruppen erstellt, und zwar einmal für die Ordner-Ebene und einmal für die Freigabeebene:
- ordner_sonderbereiche_admin
- ordner_sonderbereiche_lesen
- ordner_sonderbereiche_schreiben
- freigabe_sonderbereiche_admin
- freigabe_sonderbereiche_lesen
- freigabe_sonderbereiche_schreiben
Benutzer X wird nun Mitglied in "freigabe_sonderbereiche_schreiben", jedoch nicht in "ordner_sonderbereiche_schreiben". Somit hat er zwar das Recht auf die Freigabe zu schreiben, dies wird dann aber auf Ordnerebene abgeblockt.
Ist zwar doppelte Arbeit, aber wenn es erst einmal umgesetzt ist, dann ist es sehr nützlich.
Gruß
@DerWoWusste
oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.
Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.
Hab mal wieder viel zu kompliziert gedacht.
Danke für Eure Hilfe.
Gruß
oder man macht es so, dann brauche ich auch nicht die doppelten Sicherheitsgruppen.
Das Jeder hatte mir nur zu schaffen gemacht, aber ist ja blödsinn, da die Ordnerrechte ja alles abblocken, was nicht sein soll.
Hab mal wieder viel zu kompliziert gedacht.
Danke für Eure Hilfe.
Gruß
Gerne ....
FülltextFülltext
FülltextFülltext
