Einrichten einer Ordnerfreigabe mit unterschiedlichen Benutzerberechtigungen auf einem Windows 2003 Server mit NTFS - Dateiberechtigungen
09.05.2007
11:49:30 Uhr46707 Aufrufe
10 Antworten
11:49:30 Uhr
10 Antworten
Hilfreich +2
Immer wieder taucht hier im Forum die Frage auf, wie man Zugriffsberechtigungen auf eine Ordnerfreigabe am sinnvollsten einrichtet. Im Folgenden möchte ich zeigen, wie man für einen kleinen Betrieb die Berechtigungen für unterschiedliche Abteilungen und Gruppen einrichtet. Dazu gehe ich davon aus, dass auf einem Windows 2003 Server eine Domäne existiert und auf einem NTFS - formatierten Laufwerk ein Stamm - Verzeichnis als Freigabe existiert. Dies sind nicht notwendige Annahmen, das Verfahren kann in leicht abgewandelter Weise auch auf "gewöhnliche“ Freigaben unter Windows XP angewendet werden, Voraussetzung ist lediglich das NTFS-Dateiformat
Man unterscheidet unter Windows zwei verschiedene Userberechtigungen, die auf Freigabeebene und die auf Dateisystemebene. Beide sind "UND“-verknüpft, das heißt, wenn man die Grundeinstellung der Userberechtigungen der Freigabe "Lesen“ beibehält und dem Domänenadmin "Vollzugriff" über das Dateisystem gibt, hat er trotzdem nur Leseberechtigung auf die Freigabe. Ich gehe im Tutorial ausschließlich auf die Userberechtigungen aus Dateisystemebene ein, die auf Freigabeebene setze ich für "Jeder“ auf "Vollzugriff“, besser wäre aber "Domänenbenutzer" auf Vollzugriff und "Jeder" löschen.
Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:
Bild 1
Folgende Bedingungen sollen erfüllt werden:
1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.
Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:
1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“
Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und
Bild 2
Bild 3
Bild 3a
Bild 3b
Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.
Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt
Bild 4
und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:
Bild 5
Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt
Bild 6
den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“
Bild 7
und anschließendes "Entfernen“ löschen:
Bild 8
und die Berechtigungen auf
Bild 9
setzen. Nun wird noch der Domänenadmin mit Vollzugriff
Bild 10
Und die Geschäftsleitung mit:
Bild 11
Leseberechtigung hinzugefügt.
Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt
Bild 12
Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):
Bild 13
Dabei bedeuten:
LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff
Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.
Atti
[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,
vielen Dank,
Atti
Ich verwende die Management-Konsole unter Windows XP zur Darstellung von SnapShots. Für dieses Beispiel wird eine Organisationseinheit "Testfirma“ verwendet, in der alle Benutzer und Gruppen angelegt werden. Ich gehe davon aus, dass folgende Benutzer existieren:
Folgende Bedingungen sollen erfüllt werden:
1. Jede Abteilung erhält ein eigenes Stammverzeichnis (Geschäftsführung, Buchhaltung, Entwicklung) und die Abteilung "Entwicklung“ erhält für die Gruppen "Anwendungen“ und "Spiele“ jeweils ein Unterverzeichnis.
2. Die Geschäftsführung soll auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und für alle anderen Verzeichnisse Leseberechtigung erhalten.
3. Die Buchhaltung erhält nur auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung.
4. Die Gruppen der Entwicklung erhalten auf ihr eigenes Verzeichnis Lese- und Schreibberechtigung und auf das der fremden Gruppe Leseberechtigungen.
5. Ein "Public“-Verzeichnis zum abteilungsweiten Datenaustausch soll angelegt werden, auf das alle Mitglieder Lese- Schreibrechte haben.
6. Der Domänenadministrator bekommt Vollzugriff auf alle Verzeichnisse. Sollte dies aus Geheimhaltungsgründen nicht möglich sein, kann keine Gewähr für eine vollständige Reparatur im Schadenfall übernommen werden.
Es werden folgende Sicherheitsgruppen angelegt und mit den zugehörigen Mitarbeitern / Gruppen gefüllt:
1. globale Gruppe "Geschäftsleitung“ – Mitglieder "Gerda Sekretariat“, "Franz Geschäftsleiter1“, "Fritz Geschäftsleiter2“
2. globale Gruppe "Buchhaltung“ – Mitglieder "Helga Buchhalter1“ und "Hilde Buchhalter2“
3. globale Gruppe "Anwendungsentwickler“ – Mitglieder "Igor Anwendungsentwickler1“ und "Ingo Anwendungsentwickler2“
4. globale Gruppe "Spieleentwickler“ – Mitglieder "Jens Spieleentwickler1“ und "Jörg Spieleentwickler2“
5. globale Gruppe "Entwicklung“ – mit den Gruppen "Anwendungsentwickler“ und "Spieleentwicklung“
6. globale Gruppe "Personal“ - mit den Gruppen "Geschäftsleitung“, "Entwicklung“ und "Buchhaltung“
Diese werden angelegt über einen Rechtsklick auf "Testfirma“ und
Die anderen Gruppen werden analog angelegt und entsprechend obiger Aufstellung mit Benutzern oder Gruppen gefüllt.
Als nächstes wird die Freigabe (im Beispiel "Testfirma“) erstellt
und bei "Berechtigungen“ ist "Jeder“ auf Vollzugriff zu setzen (besser wäre es, "Jeder" zu löschen und der Gruppe "Domänen-Benutzer" Vollzugriff zu geben!), der Rest wird dann über's Dateisystem geregelt:
Nun wird es spannend, auf der Lasche "Sicherheit“ wird der Freigabe die Gruppe "Personal“ zugeordnet. Die Gruppe "Jeder“ wird entfernt indem man auf den Button "Erweitert“ klickt
den Haken bei „Berechtigungen übergeordneter Objekte …“ entfernen und durch "Kopieren“
und anschließendes "Entfernen“ löschen:
und die Berechtigungen auf
setzen. Nun wird noch der Domänenadmin mit Vollzugriff
Und die Geschäftsleitung mit:
Leseberechtigung hinzugefügt.
Nun wird es Zeit, sich um die untergeordneten Ordner zu kümmern, diese werden einfach in der Freigabe angelegt
Diesen Ordnern werden nun die Gruppen nach folgendem Schema zugeordnet und die durch Vererbung erhaltene Gruppe "Personal" wird gelöscht (analog Bild 6, 7und 8):
Dabei bedeuten:
LA – Lesen, Ausführen
OA – Ordnerinhalt auflisten
L – Lesen
Ä – Ändern
V – Vollzugriff
Damit sind alle Vorgaben erfüllt und man hat ein korrekt funktionierendes freigegebenes Verzeichnis.
Atti
[edit] am 20.07.2008 nach Hinweisen von QuentinT und geTuemII überarbeitet,
vielen Dank,
Atti
Dani schreibt am 09.05.2007 um 17:21:49 Uhr
Hi Atti58,
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.
Gruß
Dani
sehr schön gemacht. Gefällt mir recht gut...Ich hab noch ein kl. Nachtrag für größere Firmen: Wir haben die gleiche Variante wie Atti im Einsatz. Somit ist es per Script möglich Rechte zusetzen. Freigaben können so nur grundsätzlich mit "Vollzugriff" erstellt werden. Die NTFS-Rechte lassen sich mit dem Windows - Befehl "xcals" konfiguriert werden.
Gruß
Dani
n.o.b.o.d.y schreibt am 11.05.2007 um 21:23:12 Uhr
Hallo!!
was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich
) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.
5* von mir
Ralf
was ich noch anmerken oder besser hervorheben möchte, ist, dass man wie Atti es (natürlich
) gemacht hat, bei der Verganbe von Bereichigungen niemals Benutzer verrechtet, sondern immer Gruppen. Das macht einem das administrative Leben danach erheblich leicht, da man den User nur noch die entsprechenden Gruppen zuweisen muß.5* von mir
Ralf
n.o.b.o.d.y schreibt am 22.05.2007 um 22:50:08 Uhr
mich würde auch interessieren ob es möglich ist, das jene benutzer bzw. gruppen die auf gewisse datein keinen zugriff haben, diese dateien auch nicht sehen bzw. das diese datein für sie als versteckte datein gelten?
Egbert schreibt am 25.05.2007 um 21:27:15 Uhr
Hallo,
dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.
mehr dazu auch in diesem Thread
http://www.administrator.de/index.php?con ...
Gruß
Egbert
dafür gibt es unter Windows 2003 Access Based Enumeration.
Muß allerdings als Kit heruntergeladen werden, weiss nicht genau ob es bei SP2 mit drin ist.
mehr dazu auch in diesem Thread
http://www.administrator.de/index.php?con ...
Gruß
Egbert
datasearch schreibt am 23.06.2007 um 23:39:09 Uhr
Nicht schlecht. Für Umgebungen mit mehreren Domänen sollte man aber mit den Gruppen in 2 bzw. 3 Ebenen arbeiten.
wir machen das so:
Beispiel:
ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter
Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter
Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter
Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG -DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.
Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.
Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).
Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.
Grüße.
wir machen das so:
- Ressourcengruppe erstellen (Domäne1) zb. LG-DOM1-Buchhaltung
- Ressourcengruppe erstellen (Domäne2) zb. LG-DOM2-Buchhaltung
- Benutzergruppen in Domäne1 erstellen zb. GG-DOM1-Buchhalter
- Benutzergruppe in Domäne2 erstellen zb. GG-DOM2-Buchhalter
- Sammelgruppe erstellen zb. UG-Buchhalter
Beispiel:
ein User aus DOM1 ist Member in GG-DOM1-Buchhalter
ein User aus DOM2 ist Member in GG-DOM2-Buchhalter
Die Gruppe GG-DOM1-Buchhalter ist Member in LG-DOM1-Buchhaltung
Die Gruppe GG-DOM1-Buchhalter ist Member in UG-Buchhalter
Die Gruppe GG-DOM2-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Die Gruppe GG-DOM2-Buchhaltung ist Member in UG-Buchhalter
Die Gruppe UG-Buchhaltung ist Member in LG-DOM1-Buchhaltung
Die Gruppe UG-Buchhaltung ist Member in LG-DOM2-Buchhaltung
Auf jedem Server sind auf dem ordner Buchhaltung NTFS-Berechtigungen für die Gruppe LG -DOMÄNE-Buchhaltung gesetzt. Wenn man das genauer braucht, kann man 2 LG für 1 Share anlegen, und unterschiedliche Rechte zuweisen.
Das hat Vorteile, man sollte es aber auch nicht zu weit treiben was die Gruppen angeht. Für kleinere Installationen ist das unbrauchbar. Was man auch noch sagen sollte, die Gruppen-benennung/Verwendung sollte eindeutig Dokumentiert werden. Nicht nur die Shares selbst, sondern auch wie Gruppen nach welchem Schema anzulegen sind.
Für größere Umgebungen, mit mehreren Replikaten auf mehreren Servern in verschiedenen Domänen geht es nur so (sinnvoll).
Man sollte natürlich noch beachten das die Funktionsebene mindestens 2000Pur und das Caching für Universelle Gruppen aktiv ist.
Grüße.
datasearch schreibt am 25.07.2007 um 09:28:35 Uhr
Hallo,
schöne Beschreibung, allerindgs sollte man bei der Freigabeberechtigung nicht die Rechte für jeden geben, da dann jeder der Im netz ist zumindest die Ordner der Freigaeb sieht...
Man sollte es meiner Meinung nach aufgliedern in Auth. Benutzer "lesen", Administratoren "lesen, ändern" und nur für System "Vollzugriff"
Für die Freigabe berechtigung sollte man nach dem AGLP Prinzip vorgehen, das hat den Vorteil, dass man selbst bei sehr großen Umgebungen nie den Überblick verliert und schon im AD sieht, was der Nutzer bzw. die Gruppe für Berechtigungen hat.
das heisst also, man erstellt eine "globale Gruppe" in die die User kommen, dann erstellt man eine "lokale Gruppe" ind die die "globale Gruppe" kommt, die lokalen Gruppen bekommen dann die Berechtigungen auf dem Share.
Wenn ein Share erstellt wird sollten auch immer 3 "lokale Gruppen" erstellt werden und zwar eine mit "read", eine mit "write und eine mit "change" berechtigungen. Das macht die Administration erheblich einfacher.
Gruß
QuentinT
schöne Beschreibung, allerindgs sollte man bei der Freigabeberechtigung nicht die Rechte für jeden geben, da dann jeder der Im netz ist zumindest die Ordner der Freigaeb sieht...
Man sollte es meiner Meinung nach aufgliedern in Auth. Benutzer "lesen", Administratoren "lesen, ändern" und nur für System "Vollzugriff"
Für die Freigabe berechtigung sollte man nach dem AGLP Prinzip vorgehen, das hat den Vorteil, dass man selbst bei sehr großen Umgebungen nie den Überblick verliert und schon im AD sieht, was der Nutzer bzw. die Gruppe für Berechtigungen hat.
das heisst also, man erstellt eine "globale Gruppe" in die die User kommen, dann erstellt man eine "lokale Gruppe" ind die die "globale Gruppe" kommt, die lokalen Gruppen bekommen dann die Berechtigungen auf dem Share.
Wenn ein Share erstellt wird sollten auch immer 3 "lokale Gruppen" erstellt werden und zwar eine mit "read", eine mit "write und eine mit "change" berechtigungen. Das macht die Administration erheblich einfacher.
Gruß
QuentinT
BPF schreibt am 27.08.2008 um 16:10:34 Uhr
Hallo zusammen,
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.
Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.
So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.
Vielleicht kann mit jemand die "Augen öffnen"?
Danke für Eure Hilfe im voraus
mit viel Interesse habe ich diese Vorgehensweise von Atti gelesen. Ich bin ziemlicher Laie und habe den Ablauf mal Schritt für Schritt auf unserer Testumgebung durchgespielt.
Ich habe dem obersten Ordner die "Personal"-Berechtigung LA, OA und L gegeben.
Wenn ich nun einen Unterordner "Vertrieb" anlege und in diesem Ordner soll nur die Vertriebsgruppe LA, OA und ändern dürfen, wird bei mir durch die Vererbung der "Personal"-Berechtigung im Grunde allen Benutzern LA, OA und L gegeben.
So soll es nicht sein. Ein User, der nicht zur Vertriebsgruppe gehört, soll nicht das Verzeichnis Vertrieb öffnen können.
Vielleicht kann mit jemand die "Augen öffnen"?
Danke für Eure Hilfe im voraus
Forseti2003 schreibt am 24.09.2008 um 09:49:28 Uhr
Hallo an Alle,
sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.
Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?
Oder hab ich da etwas überlesen?
Grüße
Forseti
sehr interessantes Beispiel, aber ich frag mich, wieso man eigentlich in die Organisationseinheiten sowohl Laufwerke wie auch Drucker ziehen kann, wenn man dann diese wiederum mit einem Batch oder VB-Skript nur mappen kann.
Gibt es keine Möglichkeit, im AD zu sagen: Wenn OU des Benutzer = OU des Druckers Dann Mappe diesen Drucker, bzw. = OU des Laufwerks dann Mappe das Laufwerk mit Buchstabe X für alle User der OU?
Oder hab ich da etwas überlesen?
Grüße
Forseti
Atti58 schreibt am 24.09.2008 um 17:55:31 Uhr
Hallo Burkhard,
zuerst - dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.
Um aber trotzdem Deine Frage zu beantworten, Du musst natürlich in den Unterordnern die Gruppe "Personal" entfernen und durch die entsprechende Gruppe ersetzen und analog Bild 6, 7 und 8 mit den richtigen Berechtigungen versehen.
Gruß
Atti
zuerst - dies ist ein Tutorial und keine Diskussionsplattform. Du solltest Deine Frage im Forum stellen und Dich auf dieses Tutorial beziehen.
Um aber trotzdem Deine Frage zu beantworten, Du musst natürlich in den Unterordnern die Gruppe "Personal" entfernen und durch die entsprechende Gruppe ersetzen und analog Bild 6, 7 und 8 mit den richtigen Berechtigungen versehen.
Gruß
Atti
