7
Fragen zur Zentralen Netzverwaltung mit Freigaben und NTFS-Rechten in einer Windows Domäne mit und ohne Active Directory
Hallo
Ich bin zurzeit Student und habe demnächst eine mündliche Befragung zum Thema Freigaben unter Lokalen Benutzern auf einen zentralen Server und freigaben auf einem Server mit Active Directory.
Hier ein Szenario mit Bildern im Anhang:
Ich habe also Folgendes Szenario:
3 Computer mit Lokalen Benutzerkonten sollen auf einen Fileserver, freigaben bekommen. siehe Bild 1
Was ist der Nachteil? Bzw. unterschied zum Szenario 2 mit AD+DNS+DHCP?
ich habe also das ganze Praktisch aufgebaut und getestet.
- Damit Benutzer auf die Freigegeben Datenzugreifen dürfen, müssen diese vom Client aus den Benutzernamen des Servers und das Passwort wissen(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)
- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.
-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen
Bild 1:
im Szenario 2:
Es gibt wieder 3 Computer und 3 Benutzer die ein Server gespeichertes Profil haben. siehe Bild 2
Der Server (Windows Server 2003) hat Active Directory+ DNS+DHCP und einen Fileserver um Dateien Freizugeben.
- Benutzer können gezielte Freigaben bekommen nach der ADGLP-Regel über Gruppen.
- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind
Bild 2:
Meine Fragen sind:
wie ist das mit den Netzwerkfreigaben zu den NTFS-Freigaben?
Sind meine Ergebnisse richtig?
was muss ich noch beachten?
freue mich auf antworten
3 Computer mit Lokalen Benutzerkonten sollen auf einen Fileserver, freigaben bekommen. siehe Bild 1
Was ist der Nachteil? Bzw. unterschied zum Szenario 2 mit AD+DNS+DHCP?
ich habe also das ganze Praktisch aufgebaut und getestet.
- Damit Benutzer auf die Freigegeben Datenzugreifen dürfen, müssen diese vom Client aus den Benutzernamen des Servers und das Passwort wissen(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)
- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.
-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen
Bild 1:
im Szenario 2:
Es gibt wieder 3 Computer und 3 Benutzer die ein Server gespeichertes Profil haben. siehe Bild 2
Der Server (Windows Server 2003) hat Active Directory+ DNS+DHCP und einen Fileserver um Dateien Freizugeben.
- Benutzer können gezielte Freigaben bekommen nach der ADGLP-Regel über Gruppen.
- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind
Bild 2:
Meine Fragen sind:
wie ist das mit den Netzwerkfreigaben zu den NTFS-Freigaben?
Sind meine Ergebnisse richtig?
was muss ich noch beachten?
freue mich auf antworten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 145308
Url: https://administrator.de/contentid/145308
Printed on: April 23, 2024 at 11:04 o'clock
7 Comments
Latest comment
Hallo Tcprojekt und willkommen im Forum,
also ich versuch es mal an nem Beispiel zu erklären.
Du hast 3 Computer und einen Fileserver.
Auf deinem Fileserver sind 3 Ordner "Müller", "Meier" & "Huber".
Du hast im AD 3 User angelegt: "Müller", "Meier" & "Huber".
Jeder soll auf seinem Ordner volle Berechtigungen haben auf den anderen aber nur lese berechtigung.
Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei (Wenn du dort die Freigaben anschaust ist standartmäßig "Jeder" eingetragen mit Vollzugriff und das lässt man auch so)
Jetzt zu den Ordnern. Wir gehen auch hier in den Reiter "Sicherheit" und sind geben jetzt den Usern jeweils vollzugriff via NTFS.
Anschließend noch das leserecht für die jeweils anderen beiden user.
Nun, was ist genau der Unterschied zwischen DNS und NTFS?
DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.
Merke also:
- DNS ist stärker als NTFS
- Verweigernrecht ist IMMER stärker
- Keine Rechtsangabe bei NTFS entspricht entweder dem Recht einer übergeordneten Gruppe oder dem DNS.
Zu deinen Ergebnissen habe ich keine Fehler gefunden.
Was du noch beachten musst kann ich dir leider nicht sagen.
Ich kann dir auch nicht versprechen, dass alles so passt, wie ich es geschrieben habe. Wäre mir recht wenn es noch jmd "abzeichnen" kann. Ist das was mir so spontan eingefallen ist, ist aber schon ne zeit her, dass ich mich das letzte mal mit dem Thema beschäftigt habe.
Gruß
Daniel
also ich versuch es mal an nem Beispiel zu erklären.
Du hast 3 Computer und einen Fileserver.
Auf deinem Fileserver sind 3 Ordner "Müller", "Meier" & "Huber".
Du hast im AD 3 User angelegt: "Müller", "Meier" & "Huber".
Jeder soll auf seinem Ordner volle Berechtigungen haben auf den anderen aber nur lese berechtigung.
Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei (Wenn du dort die Freigaben anschaust ist standartmäßig "Jeder" eingetragen mit Vollzugriff und das lässt man auch so)
Jetzt zu den Ordnern. Wir gehen auch hier in den Reiter "Sicherheit" und sind geben jetzt den Usern jeweils vollzugriff via NTFS.
Anschließend noch das leserecht für die jeweils anderen beiden user.
Nun, was ist genau der Unterschied zwischen DNS und NTFS?
DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.
Merke also:
- DNS ist stärker als NTFS
- Verweigernrecht ist IMMER stärker
- Keine Rechtsangabe bei NTFS entspricht entweder dem Recht einer übergeordneten Gruppe oder dem DNS.
Zu deinen Ergebnissen habe ich keine Fehler gefunden.
Was du noch beachten musst kann ich dir leider nicht sagen.
Ich kann dir auch nicht versprechen, dass alles so passt, wie ich es geschrieben habe. Wäre mir recht wenn es noch jmd "abzeichnen" kann. Ist das was mir so spontan eingefallen ist, ist aber schon ne zeit her, dass ich mich das letzte mal mit dem Thema beschäftigt habe.
Gruß
Daniel
Hi danke Daniel
also DNS und NTFS kannst du so nicht vergleichen.
DNS ist ein dienst zur Namensauflösung...
ich glaube du meintest die Netzwerkfreigaben.
ja das ist mir auch aufgefallen.
Netzwerkfreigaben sind übergeordnet es seiden in den NTFS-Rechten ist eine Verweigerung gesetzt.
also DNS und NTFS kannst du so nicht vergleichen.
DNS ist ein dienst zur Namensauflösung...
ich glaube du meintest die Netzwerkfreigaben.
ja das ist mir auch aufgefallen.
Netzwerkfreigaben sind übergeordnet es seiden in den NTFS-Rechten ist eine Verweigerung gesetzt.
Ja stimmt schon mit den Netzwerkfreigaben, aber wenn ich mich ned irre hat des i-wie was mit DNS zu tun. Hab da innerhalb von ner woche so viele infos zu eingebläut bekommen...da verwechsel ich des weng
Wir geben also auf dem Fileserver das Laufwerk mit den Ordnern via DNS frei
Dafür 0 Punkte.
und sind geben jetzt den Usern jeweils vollzugriff via NTFS.
Dafür auch 0 Punkte.
DNS ist ganz einfach "stärker" wenn im DNS der User "Müller" KEINE Berechtigung für das LAufwerk hat im NTFS jedoch schon, kann er trotzdem nicht auf den Ordner zugreifen.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.
Hat der User im DNS die Berechtigung und im NTFS keine hat er auch keine Berechtigung.
Und jetzt habe ich Kopfschmerzen.
DNS vergessen wir mal bitte ganz, dass hat mit den Sicherheitsberechtigungen nicht die Bohne zu tun.
Es gibt lediglich
- Freigabeberechtigungen
- Sicherheitsberechtigungen
Und die Regel dabei ist: Der kleinstmögliche Nenner ist das angewendete Ergebnis.
Da Freigaberechte aber eine Legacy-Funktion sind, gilt dort folgende Regel:
Ein Eintrag: Jeder Lesen+Ändern - nichts anderes.
Alles Andere wird über die NTFS-Rechte gemacht.
(dies ist ein Nachteil. Berechtigungen können nicht auf die Benutzer abgestimmt werden, da diese nur lokal vorhanden sind.)
Das ist falsch.
Du legst einfach auf dem Server für jeden Benutzer ein Konto mit eigenem Passwort an und schon kannst du es auch ohne AD individuell kontrollieren.
-Daten können nicht für einzelne Personen Freigegeben werden oder für Gruppen
Das ist natürlich auch falsch, siehe oben.
- Damit auf die Freigaben zugegriffen werden kann muss Server und Clients in der gleichen Arbeitsgruppe sein.
kA. Ich kriege schon Gänsehaut bei dem Wort Arbeitsgruppe.
- Netzwerkfreigaben werden mit ihren Attributen vom NTFS-Freigaben übernommen, wenn diese nicht ausdrücklich verweigert sind
Den Satz verstehe ich nicht.
Jetzt fühl ich mich gedizzed XD ... nee spaß... tja.... ich würd sagen es war eindeutig zu viel Infos + Red Bull
Hi Dog,
danke für deine Antwort.
unter
ich war mir eben nicht so sicher wo und wann die rechte übernommen werden...
wie sieht es mit den ou´s aus?
ich muss die ADGLP-Regel anwenden.
also mache ich unter AD(Benutzer und Gruppen): NEU>Gruppe> hinzufügen und dann lasse ich diese Gruppe als Global.
in diese füge ich nun meine Benutzer X und Y als Mitglieder hinzu.
Nun mache ich wieder eine neue Gruppe: NEU>Gruppe> hinzugfügen und setzte den haken auf lokal[ ODER ?????]
anschließend füge ich als Mitglied die Globale Gruppe hinzu und gebe bei der Freigabe nun nur noch diese Lokale Gruppe an!
ist das richtig?
und wenn ja wo setzte ich nun die Berechtigung für diese Gruppe? unter den Freigaberechten oder unter den Sicherheitsrechten?
danke für deine Antwort.
unter
- Freigabeberechtigungen = Netzwerkfreigaben
- Sicherheitsberechtigungen = NTFS-Rechte
ich war mir eben nicht so sicher wo und wann die rechte übernommen werden...
wie sieht es mit den ou´s aus?
ich muss die ADGLP-Regel anwenden.
also mache ich unter AD(Benutzer und Gruppen): NEU>Gruppe> hinzufügen und dann lasse ich diese Gruppe als Global.
in diese füge ich nun meine Benutzer X und Y als Mitglieder hinzu.
Nun mache ich wieder eine neue Gruppe: NEU>Gruppe> hinzugfügen und setzte den haken auf lokal[ ODER ?????]
anschließend füge ich als Mitglied die Globale Gruppe hinzu und gebe bei der Freigabe nun nur noch diese Lokale Gruppe an!
ist das richtig?
und wenn ja wo setzte ich nun die Berechtigung für diese Gruppe? unter den Freigaberechten oder unter den Sicherheitsrechten?
Das Thema ist geklärt!
habe letzte Woche die Befragung gehabt und es ist alles sehr gut gelaufen.
Szenario 1:
kleine Lösung zu den Fragen(falls jemand die gleichen Fragen haben sollte):
Freigabeberechtigungen und Sicherheitsberechtigungen kann man sich als ein Gartentor und eine Haustür vorstellen.
Hat man eine Freigabe für eine Gruppe von Benutzern erstellt, so darf diese Gruppe in den Garten und kann dort evtl. die freigaben sehen.
Möchten die Benutzer nun auf die Daten die freigegeben sind zugreifen, so muss die Haustüre geöffnet werden. Die Haustür ist die Sicherheitsberechtigung.
Vollzugriff würde also nur gehen wenn beide Türen für die Entsprechenden Benutzergruppen freigeben sind.
Wichtig:
beim Szenario 1 gibt es keine Zentrale Benutzerverwaltung!
Damit Benutzer aber auf die Freigaben zugreifen dürfen müssen diese sich authentifizieren. Das geht mit einen Benutzer Konto das auf dem Server(fileserver)angelegt ist. Hat jeder Benutzer ein Konto auf dem Server mit dem gleichen Benutzernamen und Passwort, so authentifiziert sich der Benutzer beim Server automatisch. Wenn nicht, muss er Benutzernamen und das Passwort des Benutzers eingeben der auf dem Server ein Konto hat.
Das System hat natürlich Nachteile! es ist für kleine Netze aber dennoch geeignet.
Computer müssen hier in der gleichen Arbeitsgruppe sein.
Szenario 2:
Für die Freigaben sollte man aber die AGDLP-Regel benutzen um so mehr übersieht zu haben.
man Erstellt also eine Gruppe in AD und macht diese Gruppe zu einer Globalen Gruppe. Die Mitglieder sind dann z.B die Benutzer „der Verwaltung“ oder „des Supports“ …..
nun erstellt man eine Gruppe als Lokale Gruppe und nimmt als Mitglied die Globale Gruppe auf.
Nur die Lokale Gruppe bekommt die Freigabe Einträge bei der Freigabeberechtigung und bei den Sicherheitsberechtigungen.
habe letzte Woche die Befragung gehabt und es ist alles sehr gut gelaufen.
Szenario 1:
kleine Lösung zu den Fragen(falls jemand die gleichen Fragen haben sollte):
Freigabeberechtigungen und Sicherheitsberechtigungen kann man sich als ein Gartentor und eine Haustür vorstellen.
Hat man eine Freigabe für eine Gruppe von Benutzern erstellt, so darf diese Gruppe in den Garten und kann dort evtl. die freigaben sehen.
Möchten die Benutzer nun auf die Daten die freigegeben sind zugreifen, so muss die Haustüre geöffnet werden. Die Haustür ist die Sicherheitsberechtigung.
Vollzugriff würde also nur gehen wenn beide Türen für die Entsprechenden Benutzergruppen freigeben sind.
Wichtig:
beim Szenario 1 gibt es keine Zentrale Benutzerverwaltung!
Damit Benutzer aber auf die Freigaben zugreifen dürfen müssen diese sich authentifizieren. Das geht mit einen Benutzer Konto das auf dem Server(fileserver)angelegt ist. Hat jeder Benutzer ein Konto auf dem Server mit dem gleichen Benutzernamen und Passwort, so authentifiziert sich der Benutzer beim Server automatisch. Wenn nicht, muss er Benutzernamen und das Passwort des Benutzers eingeben der auf dem Server ein Konto hat.
Das System hat natürlich Nachteile! es ist für kleine Netze aber dennoch geeignet.
Computer müssen hier in der gleichen Arbeitsgruppe sein.
Szenario 2:
Für die Freigaben sollte man aber die AGDLP-Regel benutzen um so mehr übersieht zu haben.
man Erstellt also eine Gruppe in AD und macht diese Gruppe zu einer Globalen Gruppe. Die Mitglieder sind dann z.B die Benutzer „der Verwaltung“ oder „des Supports“ …..
nun erstellt man eine Gruppe als Lokale Gruppe und nimmt als Mitglied die Globale Gruppe auf.
Nur die Lokale Gruppe bekommt die Freigabe Einträge bei der Freigabeberechtigung und bei den Sicherheitsberechtigungen.
