3
Berechtigungen richtig vergeben
Hallo Leute,
ich stehe grad irgendwie auf dem Schlauch, und bestimmt könnt Ihr mir weiterhelfen...
Ich habe einen SBS2003, und habe nun einen User, der nur auf bestimmte Ordner eines Netzwerk-Laufwerks zugreifen können soll.
Nun weiß ich aber grad nicht, was ich nun eigentlich einstellen soll.
Es wäre OK, wenn der User den Inhalt der Ordner sehen könnte. Nur die darin enthaltenen Dateien (zB. DOC, XLS,...) soll er nicht öffnen können.
Auf verschiedene Unter-Ordner wiederum soll er allerdings Vollzugriff haben.
Also ungefähr so:
Z:\Firmengeheimnisse --> Inhalt dürfte zwar aufgelistet werden, die Dokumente sollen nicht geöffnet werden können
Z:\Firmengeheimnisse\NeuerUser --> Vollzugriff
Der NeueUser ist Mitglied der Gruppe "Domänen Benutzer".
Im Explorer/Sicherheit gibt es nur die Gruppen "Administrator" und "Benutzer"
Stelle ich für den Benutzer "NEUERUSER" "Ordnerinhalt auflisten" auf "Zulassen", so kann er trotzdem alle Dokumente öffnen.
Was muss ich wohl tun?
Wie müssen die Einstellungen korrekt gemacht werden?
Danke für Eure Hinweise,
Gruß Eggert
ich stehe grad irgendwie auf dem Schlauch, und bestimmt könnt Ihr mir weiterhelfen...
Ich habe einen SBS2003, und habe nun einen User, der nur auf bestimmte Ordner eines Netzwerk-Laufwerks zugreifen können soll.
Nun weiß ich aber grad nicht, was ich nun eigentlich einstellen soll.
Es wäre OK, wenn der User den Inhalt der Ordner sehen könnte. Nur die darin enthaltenen Dateien (zB. DOC, XLS,...) soll er nicht öffnen können.
Auf verschiedene Unter-Ordner wiederum soll er allerdings Vollzugriff haben.
Also ungefähr so:
Z:\Firmengeheimnisse --> Inhalt dürfte zwar aufgelistet werden, die Dokumente sollen nicht geöffnet werden können
Z:\Firmengeheimnisse\NeuerUser --> Vollzugriff
Der NeueUser ist Mitglied der Gruppe "Domänen Benutzer".
Im Explorer/Sicherheit gibt es nur die Gruppen "Administrator" und "Benutzer"
Stelle ich für den Benutzer "NEUERUSER" "Ordnerinhalt auflisten" auf "Zulassen", so kann er trotzdem alle Dokumente öffnen.
Was muss ich wohl tun?
Wie müssen die Einstellungen korrekt gemacht werden?
Danke für Eure Hinweise,
Gruß Eggert
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 97542
Url: https://administrator.de/contentid/97542
Printed on: April 24, 2024 at 08:04 o'clock
3 Comments
Latest comment
Du erstellst eine Gruppe (z.B. "neue Gruppe"), in dieser Gruppe machst du den neuen Benutzer zum Mitglied. (Warum eine Gruppe? Weil du später noch weiteren Benutzer dieselbe Berechtigung geben kannst, indem du diese einfach in diese Gruppe hinzufügst.)
Dieser neuen Gruppe gibst du auf Z:\Firmengeheimnisse nur Berechtigung für Ordner auflisten/Daten lesen, Attribute lesen und Berechtigunen lesen.
Wenn allerdings die Gruppe "Benutzer" mehr Berechtigungen als deinen neue Gruppe hat, hat deine "NeuerUser" eben auch diese mehr rechte (er gehört ja zu den Domänen Benutzern).
Also musst du den Spieß umdrehen: die Verweigerst der "neuen Gruppe" alles bis auf Ordner auflisten/Daten lesen, Attribute lesen und Berechtigunen lesen.
Fertig
Dieser neuen Gruppe gibst du auf Z:\Firmengeheimnisse nur Berechtigung für Ordner auflisten/Daten lesen, Attribute lesen und Berechtigunen lesen.
Wenn allerdings die Gruppe "Benutzer" mehr Berechtigungen als deinen neue Gruppe hat, hat deine "NeuerUser" eben auch diese mehr rechte (er gehört ja zu den Domänen Benutzern).
Also musst du den Spieß umdrehen: die Verweigerst der "neuen Gruppe" alles bis auf Ordner auflisten/Daten lesen, Attribute lesen und Berechtigunen lesen.
Fertig
Mit dem Verweigern wäre ich sehr vorsichtig. Ein Verweigern zählt immer mehr als ein Zulassen (Erlaubnis). Wenn z.B. für alle Domain Benutzer etwas verweigerst, aber für den Domain Admin erlaubst, war das die letzte Tat für den Domain Admin, den auch er ist ein Domain User.
Wenn möglich bevorzuge ich, dass der "NeueUser" eine eigene Verzeichnisfreigabe bekommt. Dann sieht er in "seinem" Verzeichnis nur die eigenen Dateien, aber andere Benutzer können von dem gewohnten Verzeichnis aus auf sein Unterverzeichnis zugreifen.
Auf die Art kann z.B. ein Vorgesetzter seinem neuen Mitarbeiter in den Ordner Z:\Firmengeheimnisse\NeuerUser eine Datei zum überarbeiten kopieren und kommt selber noch ran, aber NeuerUser braucht nicht neugierig zu werden was es noch alles tolles in Z:\Firmengeheimnisse\ gibt. Teilweise ist schon der Name einer Datei verräterisch.
Gruß Rafiki
Wenn möglich bevorzuge ich, dass der "NeueUser" eine eigene Verzeichnisfreigabe bekommt. Dann sieht er in "seinem" Verzeichnis nur die eigenen Dateien, aber andere Benutzer können von dem gewohnten Verzeichnis aus auf sein Unterverzeichnis zugreifen.
Auf die Art kann z.B. ein Vorgesetzter seinem neuen Mitarbeiter in den Ordner Z:\Firmengeheimnisse\NeuerUser eine Datei zum überarbeiten kopieren und kommt selber noch ran, aber NeuerUser braucht nicht neugierig zu werden was es noch alles tolles in Z:\Firmengeheimnisse\ gibt. Teilweise ist schon der Name einer Datei verräterisch.
Gruß Rafiki
Rafiki hat natürlich Recht, mit dem Verweigern sollte mit Bedacht umgegangen werden!
Seine vorgeschlagene Vorgehensweise ist auf jeden Fall die elegantere.
Wenn es aber nicht anders geht oder gehen soll, kann man immer noch die "Verweigern-Variante" wählen
Seine vorgeschlagene Vorgehensweise ist auf jeden Fall die elegantere.
Wenn es aber nicht anders geht oder gehen soll, kann man immer noch die "Verweigern-Variante" wählen
