37414
Sep 10, 2012
3326
11
0
Benutzerkonto soll nur Zugriff auf ein einziges Serververzeichnis erhalten
Hallo,
ich habe eben ein neues Benutzerkonto angelegt (Windows Server 2008 R2 Standard).
Dieses Benutzerkonto soll von einer anderen Stadt aus Zugriff auf ein einziges Verzeichnis auf unserem Server erhalten.
Welche Einstellungen muss ich hierzu in der Active-Directory vornehmen?
Danke und Gruss,
imebro
ich habe eben ein neues Benutzerkonto angelegt (Windows Server 2008 R2 Standard).
Dieses Benutzerkonto soll von einer anderen Stadt aus Zugriff auf ein einziges Verzeichnis auf unserem Server erhalten.
Welche Einstellungen muss ich hierzu in der Active-Directory vornehmen?
Danke und Gruss,
imebro
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190956
Url: https://administrator.de/contentid/190956
Printed on: April 16, 2024 at 23:04 o'clock
11 Comments
Latest comment
Zitat von @37414:
Hallo,
ich habe eben ein neues Benutzerkonto angelegt (Windows Server 2008 R2 Standard).
Dieses Benutzerkonto soll von einer anderen Stadt aus Zugriff auf ein einziges Verzeichnis auf unserem Server erhalten.
Welche Einstellungen muss ich hierzu in der Active-Directory vornehmen?
Hallo,
ich habe eben ein neues Benutzerkonto angelegt (Windows Server 2008 R2 Standard).
Dieses Benutzerkonto soll von einer anderen Stadt aus Zugriff auf ein einziges Verzeichnis auf unserem Server erhalten.
Welche Einstellungen muss ich hierzu in der Active-Directory vornehmen?
Wieso AD? Sollte man nicht einfach die Berechtigungen der Shares korrekt setzen oder was spricht dagegen? Meine Kristallkugel sagt, Du willst ihn auf ein "Netzlaufwerk" zugreifen lassen. Wenn nicht, wären mehr Informationen sinnvoll.
lks
Hallo "Lochkartenstanzer",
ja genau...
Der Benutzer soll auf ein Verzeichnis in einem Netzwerk-Laufwerk zugreifen können.
Aber halt nicht auf weitere Verzeichnisse etc.
Was genau meinst Du mit "Berechtigungen der Shares korrekt setzen"?
Danke und schöne Grüße,
imebro
ja genau...
Der Benutzer soll auf ein Verzeichnis in einem Netzwerk-Laufwerk zugreifen können.
Aber halt nicht auf weitere Verzeichnisse etc.
Was genau meinst Du mit "Berechtigungen der Shares korrekt setzen"?
Danke und schöne Grüße,
imebro
Zitat von @37414:
Was genau meinst Du mit "Berechtigungen der Shares korrekt setzen"?
Was genau meinst Du mit "Berechtigungen der Shares korrekt setzen"?
Die Freigabe-Berechtigungen. und die NTFS-Berechtigungen. Diese sind auch aufeinander abzustimmen.
lks
Die Freigabeberechtigungen des Verzeichnisses hatte ich schon angepasst.
Dennoch kann der User des Benutzerkontos offenbar noch auf andere Verzeichnisse im Netzwerk zugreifen und das möchte ich verhindern.
Wie mache ich das über die Active-Directory oder sonstwie?
Nochmal dankeschön
imebro
Dennoch kann der User des Benutzerkontos offenbar noch auf andere Verzeichnisse im Netzwerk zugreifen und das möchte ich verhindern.
Wie mache ich das über die Active-Directory oder sonstwie?
Nochmal dankeschön
imebro
Zitat von @37414:
Die Freigabeberechtigungen des Verzeichnisses hatte ich schon angepasst.
Dennoch kann der User des Benutzerkontos offenbar noch auf andere Verzeichnisse im Netzwerk zugreifen und das möchte ich
verhindern.
Die Freigabeberechtigungen des Verzeichnisses hatte ich schon angepasst.
Dennoch kann der User des Benutzerkontos offenbar noch auf andere Verzeichnisse im Netzwerk zugreifen und das möchte ich
verhindern.
Dann mußt Du die Berechtigungen der anderen verzeichnisse auch anpassen.
Wie mache ich das über die Active-Directory oder sonstwie?
da legst Du passende gruppen für deine Organisation an und definierst dann enstprechenden Berechtigungen. das ist zumindest die Standard-Vorgehensweise.
Zumindest mir ist direkt nichts bekannt, daß man im AD irgendwo einen Benutzer so einschränken könnte, daß er wirklich nur auf ein verzeichnis zugreifen darf. Du könntest es natürlich über GPOs versuchen, aber das ist imho nciht unbedingt das Mittel der Wahl
villeicht wirst Du aber bei Yusuf fündig. Der hat recht viel üebr Ad zusammengeschrieben.
lks
Moin,
mit AD hat das, ausser die Gruppenverwaltung wie schon erwähnt, nichts zu tun. Die Berechtigungen werden ausschlieslich auf NTFS (bzw. Share-)Ebene gepflegt.
Wenn der User auf bestimmte Verzeichnisse nicht zugreifen soll und die Implmentation deines Berechtigungskonzepts das nicht hergibt, musst du dem User/der Gruppe den Zugriff auf die einzelnen Verzeichnisse auf die nicht zugegriffen werden soll explizit verweigern.
lg,
Slainte
mit AD hat das, ausser die Gruppenverwaltung wie schon erwähnt, nichts zu tun. Die Berechtigungen werden ausschlieslich auf NTFS (bzw. Share-)Ebene gepflegt.
Wenn der User auf bestimmte Verzeichnisse nicht zugreifen soll und die Implmentation deines Berechtigungskonzepts das nicht hergibt, musst du dem User/der Gruppe den Zugriff auf die einzelnen Verzeichnisse auf die nicht zugegriffen werden soll explizit verweigern.
lg,
Slainte
OK...
ich frage jetzt nochmal vorsichtig nach mit einem Beispiel
Es handelt sich um ein Verzeichnis innerhalb einer Netzwerkumgebung, mit dem Namen "ABC":
--> S:\Archiv\Müller\ABC
Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10 Verzeichnisse, auf die der Benutzer NICHT zugreifen können darf!
Natürlich darf er auch nicht auf das Überverzeichnis "Archiv" zugreifen dürfen... etc.
Wenn ich das richtig verstanden habe, müßte ich jetzt den Benutzer in jedem der 10 Verzeichnisse innerhalb des Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten. Gleiches dann auch mit allen Verzeichnissen im Überverzeichnis "Archiv"??? Dann bin ich ja stundenlang beschäftigt
Gibt es tatsächlich keine andere Möglichkeit?
Danke und schöne Grüße,
imebro
ich frage jetzt nochmal vorsichtig nach mit einem Beispiel
Es handelt sich um ein Verzeichnis innerhalb einer Netzwerkumgebung, mit dem Namen "ABC":
--> S:\Archiv\Müller\ABC
Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10 Verzeichnisse, auf die der Benutzer NICHT zugreifen können darf!
Natürlich darf er auch nicht auf das Überverzeichnis "Archiv" zugreifen dürfen... etc.
Wenn ich das richtig verstanden habe, müßte ich jetzt den Benutzer in jedem der 10 Verzeichnisse innerhalb des Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten. Gleiches dann auch mit allen Verzeichnissen im Überverzeichnis "Archiv"??? Dann bin ich ja stundenlang beschäftigt
Gibt es tatsächlich keine andere Möglichkeit?
Danke und schöne Grüße,
imebro
Zitat von @37414:
OK...
ich frage jetzt nochmal vorsichtig nach mit einem Beispiel
Es handelt sich um ein Verzeichnis innerhalb einer Netzwerkumgebung, mit dem Namen "ABC":
--> S:\Archiv\Müller\ABC
Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10
Verzeichnisse, auf die der Benutzer NICHT zugreifen können darf!
Natürlich darf er auch nicht auf das Überverzeichnis "Archiv" zugreifen dürfen... etc.
Wenn ich das richtig verstanden habe, müßte ich jetzt den Benutzer in jedem der 10 Verzeichnisse innerhalb des
Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten. Gleiches dann auch mit allen
Verzeichnissen im Überverzeichnis "Archiv"??? Dann bin ich ja stundenlang beschäftigt
OK...
ich frage jetzt nochmal vorsichtig nach mit einem Beispiel
Es handelt sich um ein Verzeichnis innerhalb einer Netzwerkumgebung, mit dem Namen "ABC":
--> S:\Archiv\Müller\ABC
Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10
Verzeichnisse, auf die der Benutzer NICHT zugreifen können darf!
Natürlich darf er auch nicht auf das Überverzeichnis "Archiv" zugreifen dürfen... etc.
Wenn ich das richtig verstanden habe, müßte ich jetzt den Benutzer in jedem der 10 Verzeichnisse innerhalb des
Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten. Gleiches dann auch mit allen
Verzeichnissen im Überverzeichnis "Archiv"??? Dann bin ich ja stundenlang beschäftigt
Nein.
Du vererbst die Berechtigungen so, daß der userr in kein verzeichnis rein darf und macht bei dem verzeichnis ABC die Ausnahme, daß der Benutzer doch darf (vererbung aufheben, explitzite Rechte setzen.
Oder Du machst eine Share der nur ABC freigibt und verbietest dem user, daß er auf den andren Share zugreift.
Der Möglichkeiten gibt es da viele. man muß sich nur mit ACLs beschäftigen.
lks
lks
Moin,
Und bevor der Vorschlag kommt:
Das mappen von \\server\share\Archiv\Müller anstatt \\server\share ist keine Lösung, weil dieser "Schutz" von jedem 12jähringen Umgangen werden kann.
lg,
Slainte
--> S:\Archiv\Müller\ABC
Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10 Verzeichnisse, auf die
der Benutzer NICHT zugreifen können darf!
Das geht so wie von mir beschrieben.Im Unterverzeichnis "Müller" befinden sich außer dem Verzeichnis "ABC" noch weitere 10 Verzeichnisse, auf die
der Benutzer NICHT zugreifen können darf!
Natürlich darf er auch nicht auf das Überverzeichnis "Archiv" zugreifen dürfen... etc.
Das geht allerdings nicht. Wenn du ihm den Zugriff auf Archiv verweigerst, kann er auch nicht mehr auf die Unterordner zugreifen.Wenn ich das richtig verstanden habe, müßte ich jetzt den Benutzer in jedem der 10 Verzeichnisse innerhalb des
Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten
Korrekt.Verzeichnisses "Müller" eintragen und jeweils die Berechtigung verbieten
Gleiches dann auch mit allen Verzeichnissen im Überverzeichnis "Archiv"??? Dann bin ich ja stundenlang
beschäftigt
Ja, richtig, alle Verzeichnisse auf die nicht zugegriffen werden soll müssen dem User verweigert werden.beschäftigt
Gibt es tatsächlich keine andere Möglichkeit?
Doch: ein durchdachtes Rechtekonzept. Optional könntest Du auch den Inhalt des fraglichen Verzechnisses in ein separates Verzeichnis umziehen.Und bevor der Vorschlag kommt:
Das mappen von \\server\share\Archiv\Müller anstatt \\server\share ist keine Lösung, weil dieser "Schutz" von jedem 12jähringen Umgangen werden kann.
lg,
Slainte
Du vererbst die Berechtigungen so, daß der userr in kein verzeichnis rein darf und macht bei dem verzeichnis
ABC die Ausnahme, daß der Benutzer doch darf (vererbung aufheben, explitzite Rechte setzen.
Hui, das geht bei ungeübten Admins aber sicher schief und erzeugt Rechte-Mansch ABC die Ausnahme, daß der Benutzer doch darf (vererbung aufheben, explitzite Rechte setzen.
Der Möglichkeiten gibt es da viele. man muß sich nur mit ACLs beschäftigen.
Das möchte ich so nochmals unterstreichen Zitat von @SlainteMhath:
Hui, das geht bei ungeübten Admins aber sicher schief und erzeugt Rechte-Mansch
Hui, das geht bei ungeübten Admins aber sicher schief und erzeugt Rechte-Mansch
ist ja auch nur eine Möglichkeit.
Aber imho wäre das einfachste und wirkungsvollste einfach ABC explizit extra für den user als freigabe zu definieren und ihn bei der anderen Freigabe auszuschließen.
lks
also
\\server\ABC für den User und
\\server\\Archiv für den rest.
lks
