6
Ordnerfreigabeverständnis
Wahrscheinlich nur ein Denkfehler..
Ich habe hier in meiner kleinen GaraGe ein kleines TestLab mit Windows Server 2003 mit AD und zwei Client PCs in drei virtuellen Maschinen in VMWare Workstation.
Also ich habe eine Gruppe A, eine Gruppe B und eine Administratoren.
Zu dem kommt ein Ordner den ich als "gemeinsam" freigeben möchte.
Grundsätzlich darf jeder dort drin einen Ornder/Dateien erstellen.
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Benutzer der Gruppe B dürfen alles mit den Dateien/Ordnern von Gruppe A machen.
Benutzer der Gruppe B dürfen nur Ihre eignen Dateien/Ordner löschen aber nicht andere Dateien/Ordner innerhalb der Gruppe B löschen.
Und schließlich die Administratoren mit Vollzugriff auf das gesamte Laufwerk.
Ist so etwas realisierbar?
Ich habe ein Verständnisproblem auszuwählen:
Im Bild 1 gebe ich erst einmal Vollzugriff für alle Domänen-Benutzer, die ich dann im Reiter Sicherheit dank Attis Anleitung wieder entziehe. Danke Atti!
Bild1
Aber schon im Bild 2 habe ich eine Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft. Heißt das wenn ich das Recht Lesen habe und dann dort Ordner enthalten sind, dass ich diese nicht sehe? Heißt Schreiben auch Löschen?
Bild 2
Dann wird es aber im Bild 3 noch komplizierter, als ich die Liste sah und zum Beispiel "Dateien anhängen" las. Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Ich dachte, dass ist ausschließlich bei Emails möglich.
Bild 3
In diesem ganzen HickHack traue ich mir ja schon gar nicht mehr ein Haken zu setzen.
Wenn mir da mal bei meinen Gruppen A und B helfen könnte? Denn die Administratoren konnte ich ja schon alleine setzen.
Müssen Sonst noch Gruppen hinzugefügt werden? Hier ist oft die Rede von der Ersteller-Besitzer Gruppe, SYSTEM doch wenn ich ein Objekt erstelle, bin ich doch automatisch Ersteler-Besitzer oder und was hat das System darauf zu suchen?
Für Eure Hilfe wäre ich dankbar.
Gruß Kuli
Ich habe hier in meiner kleinen GaraGe ein kleines TestLab mit Windows Server 2003 mit AD und zwei Client PCs in drei virtuellen Maschinen in VMWare Workstation.
Also ich habe eine Gruppe A, eine Gruppe B und eine Administratoren.
Zu dem kommt ein Ordner den ich als "gemeinsam" freigeben möchte.
Grundsätzlich darf jeder dort drin einen Ornder/Dateien erstellen.
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Benutzer der Gruppe B dürfen alles mit den Dateien/Ordnern von Gruppe A machen.
Benutzer der Gruppe B dürfen nur Ihre eignen Dateien/Ordner löschen aber nicht andere Dateien/Ordner innerhalb der Gruppe B löschen.
Und schließlich die Administratoren mit Vollzugriff auf das gesamte Laufwerk.
Ist so etwas realisierbar?
Ich habe ein Verständnisproblem auszuwählen:
Im Bild 1 gebe ich erst einmal Vollzugriff für alle Domänen-Benutzer, die ich dann im Reiter Sicherheit dank Attis Anleitung wieder entziehe. Danke Atti!
Aber schon im Bild 2 habe ich eine Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft. Heißt das wenn ich das Recht Lesen habe und dann dort Ordner enthalten sind, dass ich diese nicht sehe? Heißt Schreiben auch Löschen?
Dann wird es aber im Bild 3 noch komplizierter, als ich die Liste sah und zum Beispiel "Dateien anhängen" las. Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Ich dachte, dass ist ausschließlich bei Emails möglich.
In diesem ganzen HickHack traue ich mir ja schon gar nicht mehr ein Haken zu setzen.
Wenn mir da mal bei meinen Gruppen A und B helfen könnte? Denn die Administratoren konnte ich ja schon alleine setzen.
Müssen Sonst noch Gruppen hinzugefügt werden? Hier ist oft die Rede von der Ersteller-Besitzer Gruppe, SYSTEM doch wenn ich ein Objekt erstelle, bin ich doch automatisch Ersteler-Besitzer oder und was hat das System darauf zu suchen?Für Eure Hilfe wäre ich dankbar.
Gruß Kuli
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 129184
Url: https://administrator.de/contentid/129184
Printed on: April 19, 2024 at 14:04 o'clock
6 Comments
Latest comment
Hi,
Viel findest du hier:
http://www.meierb.info/wikka/Berechtigungen2
in den zwei Kästen Verzeichnisberechtigungen und Dateiberechtigungen.
"Daten anhängen" kenn ich nicht. Evtl. betrifft das ein selten genutztes Feature von NTFS, das Anhängen von "Alternativen NTFS Datenströmen" an Dateien. Müsste man testen.
Wg. "Ersteller/Besitzer":
das wirst du benötigen für deinen Wunsch ganz am Anfang der Nachricht.
"Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben."
Mehr Gruppen als du benötigst brauchst du selbstverständlich nicht anlegen.
Am besten lernt man durch experimentieren. Wenn du dich selbst aussperrst kannst du immer wieder den Besitz übernehmen. Somit nicht ganz tragisch. Halte das ganze immer so simpel als möglich.
Wenn noch was offen ist, frag nochmal.
LG
Florian Lagg http://www.lagg.at/
Viel findest du hier:
http://www.meierb.info/wikka/Berechtigungen2
in den zwei Kästen Verzeichnisberechtigungen und Dateiberechtigungen.
"Daten anhängen" kenn ich nicht. Evtl. betrifft das ein selten genutztes Feature von NTFS, das Anhängen von "Alternativen NTFS Datenströmen" an Dateien. Müsste man testen.
Wg. "Ersteller/Besitzer":
das wirst du benötigen für deinen Wunsch ganz am Anfang der Nachricht.
"Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben."
Mehr Gruppen als du benötigst brauchst du selbstverständlich nicht anlegen.
Am besten lernt man durch experimentieren. Wenn du dich selbst aussperrst kannst du immer wieder den Besitz übernehmen. Somit nicht ganz tragisch. Halte das ganze immer so simpel als möglich.
Wenn noch was offen ist, frag nochmal.
LG
Florian Lagg http://www.lagg.at/
Irgendwie kommen solche Fragen immer zusammen: Freigabe und Sicherheit von Ordnern
Aber auch für dich nochmal: Bei den Freigabeeinstellungen ist der einzige Eintrag den es geben darf "Jeder" mit Lesen und Ändern.
Niemals darf dort Vollzugriff eingetragen werden!
Lesen bezieht sich ausschließlich auf Dateien.
Ausführen ist eine zusätzliche Berechtigung, die es erlaubt Dateien auszuführen (Na sowas).
Damit sollte auch geklärt sein, was es mit Ordnerinhalte auflisten auf sich hat.
Und: Nein, "Schreiben" bedeutet nicht löschen, es bedeutet bestenfalls "Datei leeren".
Garnicht. Gemeint ist damit lediglich nur, dass du nur an das Ende einer Datei schreiben darfst.
Sowas ist z.B. für Logdateien relevant.
ERSTELLER-BESITZER ist eine besondere ACL, die beim Erstellen einer Datei auf den realen Nutzer kopiert wird.
Relevant ist das für:
Grüße
Max
Aber auch für dich nochmal: Bei den Freigabeeinstellungen ist der einzige Eintrag den es geben darf "Jeder" mit Lesen und Ändern.
Niemals darf dort Vollzugriff eingetragen werden!
Auswahl Lesen und Lesen/Ausführen. Wo ist der Unterschied? Der Eintrag Ordner auflisten ist mir genau so schleierhaft.
Lesen bezieht sich ausschließlich auf Dateien.
Ausführen ist eine zusätzliche Berechtigung, die es erlaubt Dateien auszuführen (Na sowas).
Damit sollte auch geklärt sein, was es mit Ordnerinhalte auflisten auf sich hat.
Und: Nein, "Schreiben" bedeutet nicht löschen, es bedeutet bestenfalls "Datei leeren".
Wo kann ich denn Dateien in einem Verzeichnis anhängen?
Garnicht. Gemeint ist damit lediglich nur, dass du nur an das Ende einer Datei schreiben darfst.
Sowas ist z.B. für Logdateien relevant.
bin ich doch automatisch Ersteler-Besitzer oder
ERSTELLER-BESITZER ist eine besondere ACL, die beim Erstellen einer Datei auf den realen Nutzer kopiert wird.
Relevant ist das für:
Benutzer der Gruppe A dürfen aber nur die Dateien/Ordner löschen, die sie selber angelegt haben.
Grüße
Max
Hallo Ihr Beiden.
Danke für die Antworten. Ich werde mir Eure Ratschläge zu Herzen nehemn. Und wahrscheinlich dies durch Testen selbst herausfinden müssen.
Ihr habt mir aber einen Schritt weiter geholfen.
Gruß Kuli
Danke für die Antworten. Ich werde mir Eure Ratschläge zu Herzen nehemn. Und wahrscheinlich dies durch Testen selbst herausfinden müssen.
Ihr habt mir aber einen Schritt weiter geholfen.
Gruß Kuli
Ich nochmal.
Also hinbekommen habe ich:
- GRUPPE A darf nun alles lesen
- GRUPPE A darf Dateien und Ordner erstellen und diese (also nur die eigenen auch wieder löschen)
- GRUPPE A darf also keine fremden Ordner und Dateien löschen
- GRUPPE B darf Dateien und Ordner ertsellen, diese auch wieder löschen
- GRUPPE B darf auch die Ordner und Dateien von GRUPPE A löschen
Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Nach weiterem Nachdenken ist mir aufgefallen, dass der letzte Schritt gar nicht geht, richtig?
Denn dann müßte ich der Gruppe ebenfalls des Löschens der Ordner und Dateien "verweigern" (nicht zuordnen), was somit den Status der GRUPPE A bedeuten würde.
Wenn ich mich täusche, bitte noch mal melden.
Folgende Einstellungen habe ich vorgenommen (Häkchen bei Zulassen gesetzt):
Da ich keine Screenshots hier mehr einfügen konnte (kann man wohl nur im Eröffnungsplädoyer) habe ich es als Text eingefügt.
Alle Einträge sind vorgenommen wurden unter:
Sicherheit -> Erweiterte Sicherheitseinstellungen -> Berechtigungseintrag
GRUPPE A:
- Ordner durchsuchen/Datei ausführen
- Ordner auflisten/Datei lesen
- Dateien erstellen / Dateien schreiben
- Ordner erstellen / Dateien anhängen
GRUPPE B
Wie GRUPPE A jedoch noch zusätzlich die Einträge
- Unterordner und Dateien löschen
- löschen
Ersteller/Besitzer
Wie GRUPPE B
GRUPPE C und Administratoren
- Vollzugriff
Dank Euch.
Also hinbekommen habe ich:
- GRUPPE A darf nun alles lesen
- GRUPPE A darf Dateien und Ordner erstellen und diese (also nur die eigenen auch wieder löschen)
- GRUPPE A darf also keine fremden Ordner und Dateien löschen
- GRUPPE B darf Dateien und Ordner ertsellen, diese auch wieder löschen
- GRUPPE B darf auch die Ordner und Dateien von GRUPPE A löschen
Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Nach weiterem Nachdenken ist mir aufgefallen, dass der letzte Schritt gar nicht geht, richtig?
Denn dann müßte ich der Gruppe ebenfalls des Löschens der Ordner und Dateien "verweigern" (nicht zuordnen), was somit den Status der GRUPPE A bedeuten würde.
Wenn ich mich täusche, bitte noch mal melden.
Folgende Einstellungen habe ich vorgenommen (Häkchen bei Zulassen gesetzt):
Da ich keine Screenshots hier mehr einfügen konnte (kann man wohl nur im Eröffnungsplädoyer) habe ich es als Text eingefügt.
Alle Einträge sind vorgenommen wurden unter:
Sicherheit -> Erweiterte Sicherheitseinstellungen -> Berechtigungseintrag
GRUPPE A:
- Ordner durchsuchen/Datei ausführen
- Ordner auflisten/Datei lesen
- Dateien erstellen / Dateien schreiben
- Ordner erstellen / Dateien anhängen
GRUPPE B
Wie GRUPPE A jedoch noch zusätzlich die Einträge
- Unterordner und Dateien löschen
- löschen
Ersteller/Besitzer
Wie GRUPPE B
GRUPPE C und Administratoren
- Vollzugriff
Dank Euch.
Allerdings darf
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Was willst du denn damit erreichen...
Außerdem - du sagst ja mit Berechtigungen
GRUPPE B darf / darf nicht RECHT in Ordner X.
Nicht:
GRUPPE B darf / darf nicht RECHT mit Dateien des Benutzers/der Gruppe Y.
Also, nein so geht das IMHO nicht.
Denke auch kaum, dass das Sinn macht.
GLG Flo.
- GRUPPE B auch die Ordner und Dateien von GRUPPE B löschen
Was willst du denn damit erreichen...
Außerdem - du sagst ja mit Berechtigungen
GRUPPE B darf / darf nicht RECHT in Ordner X.
Nicht:
GRUPPE B darf / darf nicht RECHT mit Dateien des Benutzers/der Gruppe Y.
Also, nein so geht das IMHO nicht.
Denke auch kaum, dass das Sinn macht.
GLG Flo.
Mein Satz: Nach weiterem Nachdenken ist mir aufgefallen, dass der letzte Schritt gar nicht geht, richtig?
Und Du hast mir dies nur noch mal bestätigt.
Vielen Dank.
Und Du hast mir dies nur noch mal bestätigt.
Vielen Dank.
