18
Verstecken von Ordnern
Hallo zusammen!
Hab ein Problem mit der Konfiguration im W2k3 Server!
Der W2K3 Server soll einen Novellserver ablösen.
Auf dem alten Novellserver wurden die Dateifreigaben immer mit nem Script gemappt, dass soll auch weiterhin so laufen. Allerdings habe ich auf dem W2k3 das Problem, dass wenn ein Benutzer eine Freigabe auf ein Laufwerk hat alle Ordner sehen kann, dies war unter Novell nicht der Fall, soll heißen:
Auf laufwerk d: gibt es Ordner A und B
Der Benutzer hat Zugriffsrecht nur auf Ordner A, kann aber Ordner B sehen allerdings nicht darauf zugreifen.
Meine Frage ist nun, ist es möglich einzustellen, dass der Benutzer den Ordner B nicht sehen kann?
Ich hoffe mir kann jemand helfen!
Vielen Dank!
Weamer
Hab ein Problem mit der Konfiguration im W2k3 Server!
Der W2K3 Server soll einen Novellserver ablösen.
Auf dem alten Novellserver wurden die Dateifreigaben immer mit nem Script gemappt, dass soll auch weiterhin so laufen. Allerdings habe ich auf dem W2k3 das Problem, dass wenn ein Benutzer eine Freigabe auf ein Laufwerk hat alle Ordner sehen kann, dies war unter Novell nicht der Fall, soll heißen:
Auf laufwerk d: gibt es Ordner A und B
Der Benutzer hat Zugriffsrecht nur auf Ordner A, kann aber Ordner B sehen allerdings nicht darauf zugreifen.
Meine Frage ist nun, ist es möglich einzustellen, dass der Benutzer den Ordner B nicht sehen kann?
Ich hoffe mir kann jemand helfen!
Vielen Dank!
Weamer
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8262
Url: https://administrator.de/contentid/8262
Printed on: April 19, 2024 at 23:04 o'clock
18 Comments
Latest comment
funktioniert das nicht mit der "versteckt" Funktion von Windows?
Rechtklick auf Datei - Eigenschaften - dort dann das Häkchen bei "versteckt". Natürlich dürfen deine Clients dann keine versteckten Dateien sehen
Mfg
Mitchell
Rechtklick auf Datei - Eigenschaften - dort dann das Häkchen bei "versteckt". Natürlich dürfen deine Clients dann keine versteckten Dateien sehen
Mfg
Mitchell
Das funktioniert, aber dann ist der Ordner versteckt und der Benutzer B hat Zugriffsrechte darauf und sieht ihn auch nicht, oder?
Evtl ist sowas ansatzweise mit den Rechten 'Ordnerinhalt auflisten', 'Ordner durchsuchen' und 'Ordner auflisten' machbar.
Allerdings unsichtbar machen wie in Novell geht nicht.
Allerdings unsichtbar machen wie in Novell geht nicht.
@ weamer:
ich dachte, du wolltest, dass User B den Ordner nicht sieht!?
Mfg
Mitchell
ich dachte, du wolltest, dass User B den Ordner nicht sieht!?
Mfg
Mitchell
Hallo Weamer
Unter Windows "siehst" Du grundsätzlich alles, da Read/List Folders als Standardrecht für alle vergeben wird.
Durch NTFS-Berechtigungen (über den Reiter "Sicherheit" in den Eigentschaften des jeweiligen Verzeichnisses) regelst Du dann, wer wirklich Zugriff hat.
Die User die keine Berechtigungen haben sehen zwar die Ordner und Dateien, aber wenn sie versuchen sie zu öffnen, kommt die Meldung, dass keine Berechtigung vorhanden ist.
Dies ist unter Windows leider so. Unter Novell (wir hatten es früher auch) war dies wirklich eleganter gelöst.
Es gibt aber seit kurzer Zeit ein Programm, mit dem Du dies wieder so herstellen kannst:
http://www.scriptlogic.com/eng/products/cloak/
Lizenzierung erfolgt per Server. Es erfordert etwas Arbeit, aber dann hat man es sauber wie man möchte.
Gruss
Udo
Unter Windows "siehst" Du grundsätzlich alles, da Read/List Folders als Standardrecht für alle vergeben wird.
Durch NTFS-Berechtigungen (über den Reiter "Sicherheit" in den Eigentschaften des jeweiligen Verzeichnisses) regelst Du dann, wer wirklich Zugriff hat.
Die User die keine Berechtigungen haben sehen zwar die Ordner und Dateien, aber wenn sie versuchen sie zu öffnen, kommt die Meldung, dass keine Berechtigung vorhanden ist.
Dies ist unter Windows leider so. Unter Novell (wir hatten es früher auch) war dies wirklich eleganter gelöst.
Es gibt aber seit kurzer Zeit ein Programm, mit dem Du dies wieder so herstellen kannst:
http://www.scriptlogic.com/eng/products/cloak/
Lizenzierung erfolgt per Server. Es erfordert etwas Arbeit, aber dann hat man es sauber wie man möchte.
Gruss
Udo
Das ist wirklich eine Funktion von Novell, die ich bei Windows schmerzlich vermisse...
es gibt dazu einen KB Artikel...
http://support.microsoft.com/default.aspx?scid=kb;en-us;303758
Aussage:There are currently no plans to include this functionality in Windows.
PS: Zwar kein Trost, aber ein Hint, daß Microsoft das Problem zumindest für Exchange schon mal erkannt hat: Öffentliche Ordner in Exchange können übrigens "versteckt" werden, wenn ein Benutzer keine Rechte darauf hat.
es gibt dazu einen KB Artikel...
http://support.microsoft.com/default.aspx?scid=kb;en-us;303758
Aussage:There are currently no plans to include this functionality in Windows.
PS: Zwar kein Trost, aber ein Hint, daß Microsoft das Problem zumindest für Exchange schon mal erkannt hat: Öffentliche Ordner in Exchange können übrigens "versteckt" werden, wenn ein Benutzer keine Rechte darauf hat.
Hallo,
eine kurze Verständnisfrage: Warum willst Du das komplette Laufwerk am Server freigeben? Wir haben die einzelnen Ordner am Server freigegeben und über Anmeldeskripts erhalten die User die für sie relevanten Ordner als Laufwerk gemappt.
Beispiel:
W2k3-Server:
D:\Verkauf (nur die AD-Gruppe Verkauf erhält für den Ordner Freigabe- und Sicherheitsberechtigungen)
D:\Personal (nur die AD-Gruppe Personal erhält für den Ordner Freigabe- und Sicherheitsberechtigungen)
Anmeldeskript:
Verkauf: net use V: \\W2k3Server\Verkauf
Personal: net use P: \\W2k3Server\Personal
--> Verkauf sieht nur das V:\-Laufwerk Verkauf und Personal sieht nur das P:\-Laufwerk Personal
Bei Deiner Konstellation wäre D:\ komplett frei und Verkäufer könnten auch den Ordner Personal sehen - aber nicht darauf zugreifen, da ja hoffentlich die Freigabe- und Sicherheitsberechtigung nur für die MA aus der Personalabteilung gesetzt worden sind.
Ich weiss, viele Leute trauern Novell nach, aber W2k3 ist auch nicht so übel.
Gutes Gelingen - Karinska
eine kurze Verständnisfrage: Warum willst Du das komplette Laufwerk am Server freigeben? Wir haben die einzelnen Ordner am Server freigegeben und über Anmeldeskripts erhalten die User die für sie relevanten Ordner als Laufwerk gemappt.
Beispiel:
W2k3-Server:
D:\Verkauf (nur die AD-Gruppe Verkauf erhält für den Ordner Freigabe- und Sicherheitsberechtigungen)
D:\Personal (nur die AD-Gruppe Personal erhält für den Ordner Freigabe- und Sicherheitsberechtigungen)
Anmeldeskript:
Verkauf: net use V: \\W2k3Server\Verkauf
Personal: net use P: \\W2k3Server\Personal
--> Verkauf sieht nur das V:\-Laufwerk Verkauf und Personal sieht nur das P:\-Laufwerk Personal
Bei Deiner Konstellation wäre D:\ komplett frei und Verkäufer könnten auch den Ordner Personal sehen - aber nicht darauf zugreifen, da ja hoffentlich die Freigabe- und Sicherheitsberechtigung nur für die MA aus der Personalabteilung gesetzt worden sind.
Ich weiss, viele Leute trauern Novell nach, aber W2k3 ist auch nicht so übel.
Gutes Gelingen - Karinska
@Karinska
Bei Deinem Modell benötigt man halt für jeden Share einen Laufwerksbuchstaben. Wenn man das aber nicht möchte, dann muss man es eben auf die andere Art lösen.
Wenn z.B. noch Verkauf und Personal einen gemeinsamen Ordner benötigen, so sind es schon 3 Laufwerke
Bei Deinem Modell benötigt man halt für jeden Share einen Laufwerksbuchstaben. Wenn man das aber nicht möchte, dann muss man es eben auf die andere Art lösen.
Wenn z.B. noch Verkauf und Personal einen gemeinsamen Ordner benötigen, so sind es schon 3 Laufwerke
@ all:
Kann mich wer aufklären, warum es nicht geht, wenn man einen Ordner einfach auf "versteckt" setzt?
sorry, habe nichts mit Servern zu tun, deshalb wüsste ich es gerne.
Mfg
Mitchell
PS: Schönes Wochenende
Kann mich wer aufklären, warum es nicht geht, wenn man einen Ordner einfach auf "versteckt" setzt?
sorry, habe nichts mit Servern zu tun, deshalb wüsste ich es gerne.
Mfg
Mitchell
PS: Schönes Wochenende
Lieber Mitchell!
Novell hat die angenehme Eigenschaft, Ordner nur Benutzern anzuzeigen, die darauf berechtigt sind; das hat den großen Vorteil, daß ein User nur Ordner/Dateien sieht, die er tatsächlich öffnen kann.
Wenn Du einen Ordner versteckst, sieht ihn jeder der versteckte anzeigen anklickt, bzw. keiner, wenn versteckte Ordner nicht angezeigt werden; erfüllt somit nicht die Anforderung...
Novell hat die angenehme Eigenschaft, Ordner nur Benutzern anzuzeigen, die darauf berechtigt sind; das hat den großen Vorteil, daß ein User nur Ordner/Dateien sieht, die er tatsächlich öffnen kann.
Wenn Du einen Ordner versteckst, sieht ihn jeder der versteckte anzeigen anklickt, bzw. keiner, wenn versteckte Ordner nicht angezeigt werden; erfüllt somit nicht die Anforderung...
Novell hat die angenehme Eigenschaft, Ordner
nur Benutzern anzuzeigen, die darauf
berechtigt sind; das hat den großen
Vorteil, daß ein User nur
Ordner/Dateien sieht, die er
tatsächlich öffnen kann.
nur Benutzern anzuzeigen, die darauf
berechtigt sind; das hat den großen
Vorteil, daß ein User nur
Ordner/Dateien sieht, die er
tatsächlich öffnen kann.
ahh, das wusste ich nicht. Finde ich eine gute Funktion
Wenn Du einen Ordner versteckst, sieht ihn
jeder der versteckte anzeigen anklickt, bzw.
keiner, wenn versteckte Ordner nicht
angezeigt werden
jeder der versteckte anzeigen anklickt, bzw.
keiner, wenn versteckte Ordner nicht
angezeigt werden
das war mir klar. Ich dachte, dann deaktiviert man für die User, die den Ordner nicht sehen sollen einfach die Funktion im Explorer.
erfüllt somit nicht
die Anforderung...
die Anforderung...
ok, danke für die Aufklärung samtiges Pfötchen ^^
Mfg
Mitchell
Hallo Karinska!
Bei uns ist es aber zum Beispiel so:
Personal und Verkauf haben Rechte auf einen Ordner A
Verkauf aber nur auf einen Unterordner des Ordners A, Personal aber auf alle Unterordner.
Daher resultiert das Problem, dass Verkauf alle Ordner sieht aber nicht darauf zugreifen kann. Ist auch gut so, nur wir wollen halt von vornherein nach dem Prinzip vorgehen was Verkauf nicht weiß macht sie nicht heiß.
Das war bei Novell so: keine Rechte für Verkauf auf einen Ordner -> Ordner nicht da
Würde ich jetzt allen die Ordner auf die sie Zugreifen dürfen einzeln zu weisen hätten alle ungefähr 20 davon und die Laufwerksbuchstaben wären nicht mehr dieselben wie vorher.
Und dann kommen die Anrufe, früher war das und das aber unter f: wo ist das jetzt?
ICH SAG NUR !!!DAU!!!
Ich hoffe ich konnte es erklären!
Bei uns ist es aber zum Beispiel so:
Personal und Verkauf haben Rechte auf einen Ordner A
Verkauf aber nur auf einen Unterordner des Ordners A, Personal aber auf alle Unterordner.
Daher resultiert das Problem, dass Verkauf alle Ordner sieht aber nicht darauf zugreifen kann. Ist auch gut so, nur wir wollen halt von vornherein nach dem Prinzip vorgehen was Verkauf nicht weiß macht sie nicht heiß.
Das war bei Novell so: keine Rechte für Verkauf auf einen Ordner -> Ordner nicht da
Würde ich jetzt allen die Ordner auf die sie Zugreifen dürfen einzeln zu weisen hätten alle ungefähr 20 davon und die Laufwerksbuchstaben wären nicht mehr dieselben wie vorher.
Und dann kommen die Anrufe, früher war das und das aber unter f: wo ist das jetzt?
ICH SAG NUR !!!DAU!!!
Ich hoffe ich konnte es erklären!
Seit SP1 Server 2003 bietet Microsoft folgende Lösung an!
This has been a feature that Novell has had for over a decade in its directory services implementation. With the introduction of Windows® Server 2003 Service Pack 1 the Windows® Server System Family base network operating system will now have this capability. Anyone whom has the Windows® Server 2003 Service Pack 1 bits has this feature today. This feature will not be back ported to the Windows® 2000 Server Family. Below describes how to enable this feature as well as background on what is does and documentation about it. Please spread the word to your customers as this is public information and ping me if you need assistance with explaining this, demoing, etc.
1. This tool for the time being is as is and thus has no PSS support as of this time. If there are any issues please direct them to me for the time being. So far a few dozen early adopters have been given this tool around the globe with no issues.
2. Please rename the attached tool to .exe. This tool enables access based directory enumeration on a share by setting the property. The syntax is:
markshareforABDE.exe <sharename> <0=off/1=on> (Optional: <servername>)
There are two options to run this tool. You can either run it on the server and skip the optional argument or run it on a remote machine and specify a server name.
3. If someone wants to write a tool themselves, he/she would need to use the NetShareSetInfo API (http://msdn.microsoft.com/library/d...haresetinfo.asp). To enable ABDE, you need to set a flag that points to a SHARE_INFO_1005 structure (http://msdn.microsoft.com/library/d...fo_1005_str.asp). The new flag to enable ABDE is #define SHI1005_FLAGS_ENFORCE_NAMESPACE_ACCESS 0x0800.
4. There will be a KB article that will come out at the same time as SP1 which describes the feature and how to enable it.
5. This feature is disabled by default and the only way to enable it is by this tool, writing an interface to enable it, or command line.
6. Explanation of how a Server Message Block (SMB) server enumerates a directory ? Before the introduction of Access Based Directory Enumeration in Windows® Server 2003 Service Pack 1 when the contents of a directory on an SMB server were enumerated, the server handling the access request would display all directories that were shared on that server. When the end user selected a directory that he/she did not have access to he/she would get an error message stating that access was denied.
Access Based Directory Enumeration filters out directory entries that the requesting user does not have access to. To enable this feature a property needs to be set on the share that is exported from the server.
7. Windows® Server 2002 R2 Information ? We are working towards a GUI or some type of UI during share creation that sets this property.
Download unter:
http://www.mcseboard.de/attachment.php?attachmentid=2208
Funktioniert sogar!
This has been a feature that Novell has had for over a decade in its directory services implementation. With the introduction of Windows® Server 2003 Service Pack 1 the Windows® Server System Family base network operating system will now have this capability. Anyone whom has the Windows® Server 2003 Service Pack 1 bits has this feature today. This feature will not be back ported to the Windows® 2000 Server Family. Below describes how to enable this feature as well as background on what is does and documentation about it. Please spread the word to your customers as this is public information and ping me if you need assistance with explaining this, demoing, etc.
1. This tool for the time being is as is and thus has no PSS support as of this time. If there are any issues please direct them to me for the time being. So far a few dozen early adopters have been given this tool around the globe with no issues.
2. Please rename the attached tool to .exe. This tool enables access based directory enumeration on a share by setting the property. The syntax is:
markshareforABDE.exe <sharename> <0=off/1=on> (Optional: <servername>)
There are two options to run this tool. You can either run it on the server and skip the optional argument or run it on a remote machine and specify a server name.
3. If someone wants to write a tool themselves, he/she would need to use the NetShareSetInfo API (http://msdn.microsoft.com/library/d...haresetinfo.asp). To enable ABDE, you need to set a flag that points to a SHARE_INFO_1005 structure (http://msdn.microsoft.com/library/d...fo_1005_str.asp). The new flag to enable ABDE is #define SHI1005_FLAGS_ENFORCE_NAMESPACE_ACCESS 0x0800.
4. There will be a KB article that will come out at the same time as SP1 which describes the feature and how to enable it.
5. This feature is disabled by default and the only way to enable it is by this tool, writing an interface to enable it, or command line.
6. Explanation of how a Server Message Block (SMB) server enumerates a directory ? Before the introduction of Access Based Directory Enumeration in Windows® Server 2003 Service Pack 1 when the contents of a directory on an SMB server were enumerated, the server handling the access request would display all directories that were shared on that server. When the end user selected a directory that he/she did not have access to he/she would get an error message stating that access was denied.
Access Based Directory Enumeration filters out directory entries that the requesting user does not have access to. To enable this feature a property needs to be set on the share that is exported from the server.
7. Windows® Server 2002 R2 Information ? We are working towards a GUI or some type of UI during share creation that sets this property.
Download unter:
http://www.mcseboard.de/attachment.php?attachmentid=2208
Funktioniert sogar!
Syntax example:
Command Line Sytax: markshareforABDE.exe [ShareName] [1=on/0=off] [ServerName]
[ServerName] -> optional (wenn man von der Arbeitsstation aus fungiert!)
Command Line Sytax: markshareforABDE.exe [ShareName] [1=on/0=off] [ServerName]
[ServerName] -> optional (wenn man von der Arbeitsstation aus fungiert!)
Das hört sich ja mal gut an!
Einziges Problem der Link bzw. download geht nicht!
Kannst du vielleicht den Inhalt der .txt mal posten?
Dann mach ich das selber.
weamer
Einziges Problem der Link bzw. download geht nicht!
Kannst du vielleicht den Inhalt der .txt mal posten?
Dann mach ich das selber.
weamer
Das ist keine Textdatei sondern man diese in .exe manuell abändern!
Hier ein anderer Link:
http://itpro.members.winisp.net/download/markshareforabde.exe
Hier ein anderer Link:
http://itpro.members.winisp.net/download/markshareforabde.exe
Hallo Leute,
nehmts mir nicht übel...! Aber ich habe mal genau das gemacht was hier steht! Hatte diesen Artikel auch schon einmal in einem anderen Forum gelesen und habe es versucht...! Aber vergebenst! Ich hatte diese Funktion immer mit meinem Linux server bin teilweise auf windows umgestiegen und muss sagen das mich allein dieses problem daran hindert wirklich voll umzusteigen!
Ich wäre euch sehr verbunden wenn ihr mir sagen könnt wie genau das mit dieser exe datei in der cmd fungiert!
fg
Highree
nehmts mir nicht übel...! Aber ich habe mal genau das gemacht was hier steht! Hatte diesen Artikel auch schon einmal in einem anderen Forum gelesen und habe es versucht...! Aber vergebenst! Ich hatte diese Funktion immer mit meinem Linux server
bin teilweise auf windows umgestiegen und muss sagen das mich allein dieses problem daran hindert wirklich voll umzusteigen!Ich wäre euch sehr verbunden wenn ihr mir sagen könnt wie genau das mit dieser exe datei in der cmd fungiert!
fg
Highree
Hallo Leute,
ich hab leider nicht jedes einzelne Wort gelesen, was hier diesem Posting steht. Habe aber gelesen, dass schon jemand die Windows Server 2003 Access-based Enumeration angesprochen hatte. Ich selber habe gerade von Novell NetWare nach Windows Server 2003 migriert und verwende ebenfalls das besagte "ABE" Tool. Das läuft auch alles wunderbar, so wie es sein soll. Hat jemand keine Berechtigung auf einen Ordner, sieht er diesem auch nicht. Ganz genauso wie bei NetWare.
Hier mal der Link zur Microsoft-Seite:
http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9- ...
Dort einfach die ABEUI.msi runterladen und auf dem Server installieren. Der Rest ist selbsterklärend und sollte für einen Admin kein Problem sein. Wählt man nun die Eigenschaften einer Freigabe, findet man nach der Installation dieses Tools einen weiteren Tab vor, wo man sein Einstellungen machen kann.
ich hab leider nicht jedes einzelne Wort gelesen, was hier diesem Posting steht. Habe aber gelesen, dass schon jemand die Windows Server 2003 Access-based Enumeration angesprochen hatte. Ich selber habe gerade von Novell NetWare nach Windows Server 2003 migriert und verwende ebenfalls das besagte "ABE" Tool. Das läuft auch alles wunderbar, so wie es sein soll. Hat jemand keine Berechtigung auf einen Ordner, sieht er diesem auch nicht. Ganz genauso wie bei NetWare.
Hier mal der Link zur Microsoft-Seite:
http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9- ...
Dort einfach die ABEUI.msi runterladen und auf dem Server installieren. Der Rest ist selbsterklärend und sollte für einen Admin kein Problem sein. Wählt man nun die Eigenschaften einer Freigabe, findet man nach der Installation dieses Tools einen weiteren Tab vor, wo man sein Einstellungen machen kann.
