14
Server 2008 - Freigaben - Ordnerzugriff sperren für alle außer für 5 Personen?
Es soll innerhalb eines Freigegebenen Laufwerks ein Ordner für alle personen im Unternehmen gesperrt werden, außer für GF und einen User.
Hallo zusammen,
ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.
Folgendes Problem:
Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:
Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.
Wie würdet Ihr das angehen?
Danke für Eure Antworten oder Hilfestellungen im Voraus!
Grüße vom
Vince
ich denke mein Anliegen ist nicht so schwer, ich selbst zerbreche mir aber den Kopf.
Googlen hilft mir in dem Fall nicht viel, da ich nicht weiß mit was für Stichworten ich korrekterweise suchen muss.
Folgendes Problem:
Es gibt ein freigegebenes Laufwerk, das sich standardmäßig jeder Benutzer als R-Laufwerk verbunden hat. Dieses Laufwerk beinhaltet alle Daten mit denen die User des Unternehmens arbeiten.
Innerhalb dieses Laufwerkes gibt es einen Ordner, der nennt sich "Mitarbeiter". Darin befindlich wiederum Ordner bezeichnet mit den Namen der Mitarbeiter. Jeder MA hat also seinen eigenen Ordner. Jeder MA kann in jeden dieser Ordner gucken (Schreib- und Leserechte).
Das ist soweit nicht schlimm und auch z. T. gewollt. Nur in einem Fall nicht:
Der Ordner "Thomas Müller" soll nur für die Geschäftsführung (= 4 Personen) einsehbar sein und für den Herrn Thomas Müller himself.
Ein Verschieben des Ordners soll möglichst nicht in Betracht gezogen werden.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen. Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
So, also muss es einen Möglichkeit geben dieses Problem elegant zu umgehen.
Wie würdet Ihr das angehen?
Danke für Eure Antworten oder Hilfestellungen im Voraus!
Grüße vom
Vince
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179052
Url: https://administrator.de/contentid/179052
Printed on: April 23, 2024 at 21:04 o'clock
14 Comments
Latest comment
Hallo,
in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
in dem Dialog "Sicherheit" warst du schon ganz richtig.
Erst entziehst du hier alle Rechte indem Du die Einträge löscht.
Dann fügst du die Userkonten wieder hinzu die berechtigt werden sollen.
Nicht vergessen ggf. ein Administratorkonto hinzuzufügen und zu berechtigen. Sonst können evtl. Sicherungsprogramme den Ordner auch nicht mehr lesen.
Moin 
Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.
Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.
Gruß
Hubert
Dein Problem könnte auich sein, dass du erst einmal die Vererbung unterbrechen musst, bevor du da Rechte entziehen kannst. Kommt aber darauf an, um was für einen Server es sich handelt. Merken tust du es daran, dass diue EInträge ausgegraut sind.
Sinnvoll ist es übrigens in den allermeisten Fällen, die Benutzer in Gruppen zusammenzufassen und dann die Rechte an die Gruppe zu geben.
Gruß
Hubert
Hi auch
BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
Ich kann nun den Ordner rechtsklicken und unter dem Reiterchen "Sicherheit" alle Anwender eintragen und auf deny setzen.
Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
Darum werden die User auch zu Gruppen zusammengefasst und man benutzt dann diese. Das mache ich sogar bei 20 und weniger AD-Usern.Allerdings ist das bei einem Unternehmen mit über 100 Mitarbeitern sicher nicht angenehm für mich. Zudem ist es schwer
sich zu merken neue User da immer mit einzutragen...
Außerdem bin ich sicher, dass das der falsche Weg ist, da ich mir bei einem Unternehmen mit über 1000 Mitarbeitern
nicht vorstellen kann, dass sich ein Admin hinsetzt und das alles händisch macht...
BTW: Wenn du nur 5 Usern das Recht auf den Ordner einrichten möchtest, warum nimmst du nicht die Vererbung heraus (Reiter 'erweitert' und dort den Haken bei "Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. ..." weg) und lässt dann nur noch das System und eventuell für andere administrative Tätigkeiten eingestellte Benutzer (Backup, etc) auf Vollzugriff. Danach fügst du die 5 Hanseln hinzu und vergibst die benötigten Rechte. Bei W2K8 oder W2K3 mit ABE sehen alle anderen User diesen Ordner nicht mal mehr.
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen
grüße vom it-frosch
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
3. das Laufwerk für beide Gruppen freigegen
4. im besagten Geschäftsführungsordner die Vererbung unterbrechen und nur die Gruppe der Geschäftsleitung zulassen
grüße vom it-frosch
Zitat von @it-frosch:
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
Hallo Vince,
1. eine Berechtigungsgruppe für alle MA ohne Thomas Müller + Geschäftsführung anlegen
2. eine Berechtigungsgruppe für Thomas Müller + Geschäftsführung anlegen
Hi IT-Frosch,
wenn das aber nur ein Beispiel vom TO war und er das so für alle ca. 100 Mitarbeiter haben möchte (Ordner mit dem Namen des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.
Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Hallo Goscho,
Ich weiß.
grüße vom it-frosch
des MA und Zugriff durch MA + GF), dann müsste man - deinem Beispiel folgend - mindestens 200 Gruppen anlegen.
Wir versuchen das so weit wie möglich durchzuhalten auch wenn es sehr aufwendig ist.Ich weiß.
Wie wäre es , wenn es eine Gruppe GF gibt und der Mitarbeiter als einzelner User hinzugefügt wird?
Das ist wesentlich bequemer. Mitunter tun wir das auch. grüße vom it-frosch
Hallo alle zusammen, toll...
da komm ich vom Kunden zurück und hab wieder mal super konstruktive Beiträge!
Danke erstmal dafür.
Ich werde mich in dem speziellen Fall dafür entscheiden die vererbten Berechtigungen zu entfernen, alle User die da nichts zu suchen haben entfernen und nur denjenigen Zugriff gewähren, die drauf müssen.
Bei anderen Gelegenheiten werde ich über Gruppen arbeiten.
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig arbeiten...
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Acronis sichert den Server übrigens mit dem Admin-User, das wäre in dem Fall dann ok (weil oben carwil schrieb, dass es da auch Probleme haben könnte).
Es handelt sich übrigens (und sry fürs Vergessen) um einen Windows Server 2008 Standard x64.
Grüße vom
Vince
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
da komm ich vom Kunden zurück und hab wieder mal super konstruktive Beiträge!
Danke erstmal dafür.
Ich werde mich in dem speziellen Fall dafür entscheiden die vererbten Berechtigungen zu entfernen, alle User die da nichts zu suchen haben entfernen und nur denjenigen Zugriff gewähren, die drauf müssen.
Bei anderen Gelegenheiten werde ich über Gruppen arbeiten.
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig arbeiten...
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Acronis sichert den Server übrigens mit dem Admin-User, das wäre in dem Fall dann ok (weil oben carwil schrieb, dass es da auch Probleme haben könnte).
Es handelt sich übrigens (und sry fürs Vergessen) um einen Windows Server 2008 Standard x64.
Grüße vom
Vince
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Zitat von @joshivince:
Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Wenn du selbst (der Administrator) hinterher keine Berechtigung mehr hatte, dann war das ja auch o.k.Jetzt hab ich nur noch eine Frage: Ich habe im Reiterchen "Sicherheit" einen EIntrag, der nennt sich "Jeder".
Jetzt hab ich mal (warum auch immer) eine ganz schlecht Erfahrung damit gemacht den "Jeder" zu entfernen. Danach kam ich
nämlich nichtmal mehr mit dem Administrator auf den Ordner.
Ich musste mir kompliziert die Besitzerrechte wieder holen und erst dann konnte ich mit dem Ordner wieder vernünftig
arbeiten...
Also als letzte Frage bevor ich loslege: SICHER, dass ich den "Jeder" Eintrag entferne und 5 User (+ meinen
Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).Domänenadmin) hinzufüge um die Ordnerberechtigungen so zu setzen wie ich es oben beschrieben haben will?
P.s. User SYSTEM und ERSTELLER-BESITZER... was mach ich mit denen? Lassen?
Zu 'System' habe ich schon was gesagt und Ersteller-Besitzer ist wer?PS: Wie das bei Adonis ist, weiß ich nicht, aber bei anderen Programmen kann der Zugriff durch den Backup-User vor der Sicherung getestet werden.
Servus goscho.
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht erstellt. Wahrscheinlich war das der User.
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht erstellt. Wahrscheinlich war das der User.
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Zitat von @joshivince:
Servus goscho.
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Was ist daran jetzt schwer zu verstehen?Servus goscho.
Ja stimmt, habs übersehen. SYSTEM bleibt also.
Ersteller-Besitzer... keine AHnung, ich gehe mal stark von "Administrator" aus. Ich selbst hab den Ordner nicht
erstellt. Wahrscheinlich war das der User.
Wenn der User 'Thomas Müller' der Ersteller-Besitzer ist und über die erweiterten Berechtigungen 'Vollzugriff' hat, kannst du diesen auch drin lassen und nur noch die GFs eintragen.
Wenn du dir nicht sicher bist, dass es der User ist, schmeißt du ihn raus und machst das, was wir dir erklärt haben.
Also wenn ich dich nun hier in deinem letzten Beitrag richtig verstanden habe bleibt der Eintrag "Jeder" erhalten, oder?
Nein, das hast du komplett missverstanden, dabei steht's dort unmissverständlich:Wenn du 'jeder' auf Vollzugriff lässt, kannst du dir die restlichen Einstellung sparen (außer bei 'Verweigern', das hat Vorrang).
Wenn du in den Sicherheitseinstellungen bei 'jeder' den Vollzugriff lässt, hat jeder Vollzugriff auf diesen Ordner. Genau das möchtest du aber ändern.
'Jeder' muss dort entfernt werden.
Servusle,
so hab das nun so gemacht wie angesagt:
1.) Übergeordnete Berechtigungen entfernt (Häkchen in den erweiterten Einstellungen)
2.) Alle User (auch Jeder) entfernt und den Benutzer selbst hinzugefügt, den Administrator und die GF
3.) Beim Übernehmen der Änderungen kam folgende Fehlermeldungen:
Allerdings scheint dennoch alles zu funktionieren... Falls Euch der Fehler bekannt ist wäre ne kurze Info lieb, ansonsten markiere ich das Topic hier heute Abend als gelöst!
Danksche nochmals herzlichst!
Vince
so hab das nun so gemacht wie angesagt:
1.) Übergeordnete Berechtigungen entfernt (Häkchen in den erweiterten Einstellungen)
2.) Alle User (auch Jeder) entfernt und den Benutzer selbst hinzugefügt, den Administrator und die GF
3.) Beim Übernehmen der Änderungen kam folgende Fehlermeldungen:
Allerdings scheint dennoch alles zu funktionieren... Falls Euch der Fehler bekannt ist wäre ne kurze Info lieb, ansonsten markiere ich das Topic hier heute Abend als gelöst!
Danksche nochmals herzlichst!
Vince
P.s. Hab testweise gerade einen User hinzugefügt und wieder auf "Übernehmen" gedrückt. Es kommen wieder die "Zugriff verweigert"-Meldungen...
... dann hast du selber keinen ausreichenden Zugriff auf die Dateien bzw. Ordner.
Übernimm mal den Besitz an den Dateien.
Gruß
Hubert
Übernimm mal den Besitz an den Dateien.
Gruß
Hubert
OK, das wars. DANKE!
Nun funk alles wie es soll!
Was habe ich daraus gelernt?
Der Eintrag "Jeder" ist im grunde der ganze Knackpunkt. Wenn ich den entferne haben andere, nicht eingetragene User nichtmal die Möglichkeit den entsprechenden Ordner zu sehen.
Super,
vielen herzlichen Dank wieder mal an alle Beteiligten...
Der
Vince
Nun funk alles wie es soll!
Was habe ich daraus gelernt?
Der Eintrag "Jeder" ist im grunde der ganze Knackpunkt. Wenn ich den entferne haben andere, nicht eingetragene User nichtmal die Möglichkeit den entsprechenden Ordner zu sehen.
Super,
vielen herzlichen Dank wieder mal an alle Beteiligten...
Der
Vince
